Novi malver za Mac se širi preko rezultata Google pretrage

Opisi virusa, 03.07.2019, 02:00 AM

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare.

Malver nazvan OSX/CrescentCore, je trojanac, a primećen je na raznim sajtovima gde je predstavljen kao instaler Adobe Flash Playera. Na inficiranom računaru, ovaj malver instalira zlonamerne aplikacije i ekstenzije pregledača.

OSX/CrescentCore se širi preko raznih sajtova, gde je maskiran u Adobe Flash Player. Međutim, “instaler” je zapravo .dmg fajl koji isporučuje malver.

Jedna verzija malvera preuzima potencijalno neželjene aplikacije, softver kao što je OSX/AMC (skraćeno od “Advanced Mac Cleaner”). Druga verzija OSX/CrescentCore pokušava da instalira malicioznu ekstenziju za Safari.

Neki od brojnih sajtova preko kojih se širi malver pojavljuju se u rezultatima Google pretrage. Jedan takav sajt, “GetComics”, navodno besplatno nudi digitalne kopije novih stripova.

Malver se takođe širi preko visoko rangiranih rezultata Google pretrage, koji preusmeravaju korisnike na više sajtova.

"Mi smo zapravo bili u procesu pronalaženja imena za CrescentCore, i tražili “CrescentCore” pod navodnicima, a jedan od linkova na prvoj stranici rezultata pretraživanja preusmeravao je na stranicu koja je distribuirala novi uzorak “CrescentCore”, rekao je Long.

Istraživač je rekao da će distributeri malicioznih programa često pronaći ranjive blogove ili druge sajtove sa visokom pozicijom u rezultatima Google pretrage i dodati mehanizam preusmeravanja koji preko brojnih afiliejt linkova na kraju preusmerava korisnika na stranicu sa lažnim Flash Playerom.

“Dakle, ako se rezultat koji je ranije bio gotovo nekorišćen kao što je CrescentCore pojavio u rezultatima pretrage, vrlo je verovatno da će i drugi rezultati pretrage preusmeravati na ovaj malver”, rekao je on.

Stranica koja širi malver prikazuje upozorenje za ažuriranje programa Adobe Flash Player. Kada se klikne na ovo upozorenje preuzima se ili novi OSX/CrescentCore malver ili ranije otkriveni OSX/Shlayer malver.

Međutim, za razliku od tipičnog lažnog Flash Player ažuriranja, OSX/CrescentCore ima neke dodatne mogućnosti kojima otežava antivirusima da ga otkriju, a još više otežava posao analitičarima malvera koji žele da ga analiziraju.

Kada se malver preuzme, on će prvo probati da utvrdi da li se pokreće u okruženju virtuelne mašine ili ako je antivirusni softver prisutan na računaru, malver će se jednostavno ugasiti.

“Analitičari malvera često ispituju malvere unutar VM kako bi izbegli slučajnu infekciju svojih računara dok rade sa opasnim fajlovima, tako da autori malvera ponekad primenjuju VM detekciju kako bi bilo teže analizirati ponašanje malvera“, kažu istraživači.

Ako ne otkrije VM ni antivirusni softver, malver će instalirati LaunchAgent koji će mu pomoći da se pokreće na zaraženom računaru sa svakim pokretanjem sistema.

Ovo je samo jedan od malvera koji ciljaju Mac sisteme a koji su otkriveni u skorije vreme. Pre desetak dana istraživači Intega otkrili su još jedan novi malver za Mac sisteme - OSX/Linker koji koristi ranjivost u MacOS.

“Programeri malvera za Mac postaju pametniji, pokušavajući da otežaju otkrivanje zlonamerne prirode njihovog softvera“, kaže Long. "Kao što smo naučili sa OSX/Linker, proizvođači Mac malvera takođe eksperimentišu sa novim načinima zaobilaženja Appleovih ugrađenih mehanizama zaštite, pa čak pokušavaju da koriste i ranjivosti nultog dana da bi to uradili.”


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje

25 miliona Android uređaja zaraženo malverom Agent Smith

25 miliona Android uređaja zaraženo malverom Agent Smith

Istraživači iz firme Check Point otkrili su novi malver za Android uređaje koji je nazvan "Agent Smith". Agent Smith je neprimetno zarazio oko 25 m... Dalje

Novi malver za Mac se širi preko rezultata Google pretrage

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare. Malver nazvan OSX/CrescentCore, je trojanac, a prime... Dalje