Описание вредоносного ПО

Кампания по распространению фальшивых антивирусов для Mac

Злоумышленников, распространяющих фальшивые антивирусы, интересуют не только пользователи Windows. Теперь они нацелились и на пользователей Mac, которых они атакуют, используя проверенные временем технологии «черной» оптимизации, позволяющие искажать (poisoning) результаты поисковых запросов в популярных поисковых системах.

Изучая действия киберпреступников в связи с новостями о смерти Усамы бин Ладена, мы обнаружили, что с одних и те же доменов распространяются два фальшивых антивируса, созданных специально для Mac OSX – Best Mac Antivirus и MACDefender.

При поиске в интернете пользователь может быть перенаправлен на вредоносные домены, такие как ***-antivirus.cz.cc/fast-scan2/

Сначала вредоносные страницы проверяют User-agent браузера (браузер должен быть Safari), IP-адрес (на данный момент «обслуживаются» только американские домены) и домен-реферер (запрос должен исходить от Google или другой поисковой системы). Если запрос соответствует всем этим критериям, вредоносная страница демонстрирует результаты «проверки» компьютера фальшивым антивирусом:

И хотя пользователю предъявляется фальшивое окно антивирусной проверки с заголовком Windows, предлагаемый файл будет .mpkg – инсталлятор фальшивого антивируса:

Для установки приложения пользователь должен ввести пароль администратора (root).

Главное окно фальшивого антивируса выглядит так:

А вот окно с «результатами проверки»:

Эта вредоносная программа также предлагает пользователю бессрочное пользование фальшивым антивирусом за $79,95.

Такой вариант развития событий наш эксперт Курт Баумгартнер предсказывал еще в апреле:

«То, что с многочисленных субдоменов .co.cc распространяются фальшивые антивирусы, для вирусных аналитиков не новость. Тем не менее, из десятков тысяч обнаруженных за сутки страниц лже-антивирусов, размещенных в этом домене, одно имя показалось нам интересным, а именно — antispyware-macbook(dot)co(dot)cc. Такой маркетинговый выверт необычен даже для этих ребят. Означает ли это, что идет работа над еще одним зловредом для Apple? Возможно.»

Kaspersky Antivirus для Mac детектирует оба фальшивых антивируса.

Кампания по распространению фальшивых антивирусов для Mac

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике