Novi malver za Mac se širi preko rezultata Google pretrage
Opisi virusa, 03.07.2019, 02:00 AM
Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare.
Malver nazvan OSX/CrescentCore, je trojanac, a primećen je na raznim sajtovima gde je predstavljen kao instaler Adobe Flash Playera. Na inficiranom računaru, ovaj malver instalira zlonamerne aplikacije i ekstenzije pregledača.
OSX/CrescentCore se širi preko raznih sajtova, gde je maskiran u Adobe Flash Player. Međutim, “instaler” je zapravo .dmg fajl koji isporučuje malver.
Jedna verzija malvera preuzima potencijalno neželjene aplikacije, softver kao što je OSX/AMC (skraćeno od “Advanced Mac Cleaner”). Druga verzija OSX/CrescentCore pokušava da instalira malicioznu ekstenziju za Safari.
Neki od brojnih sajtova preko kojih se širi malver pojavljuju se u rezultatima Google pretrage. Jedan takav sajt, “GetComics”, navodno besplatno nudi digitalne kopije novih stripova.
Malver se takođe širi preko visoko rangiranih rezultata Google pretrage, koji preusmeravaju korisnike na više sajtova.
"Mi smo zapravo bili u procesu pronalaženja imena za CrescentCore, i tražili “CrescentCore” pod navodnicima, a jedan od linkova na prvoj stranici rezultata pretraživanja preusmeravao je na stranicu koja je distribuirala novi uzorak “CrescentCore”, rekao je Long.
Istraživač je rekao da će distributeri malicioznih programa često pronaći ranjive blogove ili druge sajtove sa visokom pozicijom u rezultatima Google pretrage i dodati mehanizam preusmeravanja koji preko brojnih afiliejt linkova na kraju preusmerava korisnika na stranicu sa lažnim Flash Playerom.
“Dakle, ako se rezultat koji je ranije bio gotovo nekorišćen kao što je CrescentCore pojavio u rezultatima pretrage, vrlo je verovatno da će i drugi rezultati pretrage preusmeravati na ovaj malver”, rekao je on.
Stranica koja širi malver prikazuje upozorenje za ažuriranje programa Adobe Flash Player. Kada se klikne na ovo upozorenje preuzima se ili novi OSX/CrescentCore malver ili ranije otkriveni OSX/Shlayer malver.
Međutim, za razliku od tipičnog lažnog Flash Player ažuriranja, OSX/CrescentCore ima neke dodatne mogućnosti kojima otežava antivirusima da ga otkriju, a još više otežava posao analitičarima malvera koji žele da ga analiziraju.
Kada se malver preuzme, on će prvo probati da utvrdi da li se pokreće u okruženju virtuelne mašine ili ako je antivirusni softver prisutan na računaru, malver će se jednostavno ugasiti.
“Analitičari malvera često ispituju malvere unutar VM kako bi izbegli slučajnu infekciju svojih računara dok rade sa opasnim fajlovima, tako da autori malvera ponekad primenjuju VM detekciju kako bi bilo teže analizirati ponašanje malvera“, kažu istraživači.
Ako ne otkrije VM ni antivirusni softver, malver će instalirati LaunchAgent koji će mu pomoći da se pokreće na zaraženom računaru sa svakim pokretanjem sistema.
Ovo je samo jedan od malvera koji ciljaju Mac sisteme a koji su otkriveni u skorije vreme. Pre desetak dana istraživači Intega otkrili su još jedan novi malver za Mac sisteme - OSX/Linker koji koristi ranjivost u MacOS.
“Programeri malvera za Mac postaju pametniji, pokušavajući da otežaju otkrivanje zlonamerne prirode njihovog softvera“, kaže Long. "Kao što smo naučili sa OSX/Linker, proizvođači Mac malvera takođe eksperimentišu sa novim načinima zaobilaženja Appleovih ugrađenih mehanizama zaštite, pa čak pokušavaju da koriste i ranjivosti nultog dana da bi to uradili.”
Izdvojeno
Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta
Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje
Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver
Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje
Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta
Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje
Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u
Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje
Novi malver JaskaGO krade informacije sa macOS i Windows sistema
Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje
Pratite nas
Nagrade