Описание вредоносного ПО

Кампания по распространению фальшивых антивирусов для Mac

Злоумышленников, распространяющих фальшивые антивирусы, интересуют не только пользователи Windows. Теперь они нацелились и на пользователей Mac, которых они атакуют, используя проверенные временем технологии «черной» оптимизации, позволяющие искажать (poisoning) результаты поисковых запросов в популярных поисковых системах.

Изучая действия киберпреступников в связи с новостями о смерти Усамы бин Ладена, мы обнаружили, что с одних и те же доменов распространяются два фальшивых антивируса, созданных специально для Mac OSX – Best Mac Antivirus и MACDefender.

При поиске в интернете пользователь может быть перенаправлен на вредоносные домены, такие как ***-antivirus.cz.cc/fast-scan2/

Сначала вредоносные страницы проверяют User-agent браузера (браузер должен быть Safari), IP-адрес (на данный момент «обслуживаются» только американские домены) и домен-реферер (запрос должен исходить от Google или другой поисковой системы). Если запрос соответствует всем этим критериям, вредоносная страница демонстрирует результаты «проверки» компьютера фальшивым антивирусом:

И хотя пользователю предъявляется фальшивое окно антивирусной проверки с заголовком Windows, предлагаемый файл будет .mpkg – инсталлятор фальшивого антивируса:

Для установки приложения пользователь должен ввести пароль администратора (root).

Главное окно фальшивого антивируса выглядит так:

А вот окно с «результатами проверки»:

Эта вредоносная программа также предлагает пользователю бессрочное пользование фальшивым антивирусом за $79,95.

Такой вариант развития событий наш эксперт Курт Баумгартнер предсказывал еще в апреле:

«То, что с многочисленных субдоменов .co.cc распространяются фальшивые антивирусы, для вирусных аналитиков не новость. Тем не менее, из десятков тысяч обнаруженных за сутки страниц лже-антивирусов, размещенных в этом домене, одно имя показалось нам интересным, а именно — antispyware-macbook(dot)co(dot)cc. Такой маркетинговый выверт необычен даже для этих ребят. Означает ли это, что идет работа над еще одним зловредом для Apple? Возможно.»

Kaspersky Antivirus для Mac детектирует оба фальшивых антивируса.

Кампания по распространению фальшивых антивирусов для Mac

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике