Novi malver za Mac se širi preko rezultata Google pretrage

Opisi virusa, 03.07.2019, 02:00 AM

Novi malver za Mac se širi preko rezultata Google pretrage

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare.

Malver nazvan OSX/CrescentCore, je trojanac, a primećen je na raznim sajtovima gde je predstavljen kao instaler Adobe Flash Playera. Na inficiranom računaru, ovaj malver instalira zlonamerne aplikacije i ekstenzije pregledača.

OSX/CrescentCore se širi preko raznih sajtova, gde je maskiran u Adobe Flash Player. Međutim, “instaler” je zapravo .dmg fajl koji isporučuje malver.

Jedna verzija malvera preuzima potencijalno neželjene aplikacije, softver kao što je OSX/AMC (skraćeno od “Advanced Mac Cleaner”). Druga verzija OSX/CrescentCore pokušava da instalira malicioznu ekstenziju za Safari.

Neki od brojnih sajtova preko kojih se širi malver pojavljuju se u rezultatima Google pretrage. Jedan takav sajt, “GetComics”, navodno besplatno nudi digitalne kopije novih stripova.

Malver se takođe širi preko visoko rangiranih rezultata Google pretrage, koji preusmeravaju korisnike na više sajtova.

"Mi smo zapravo bili u procesu pronalaženja imena za CrescentCore, i tražili “CrescentCore” pod navodnicima, a jedan od linkova na prvoj stranici rezultata pretraživanja preusmeravao je na stranicu koja je distribuirala novi uzorak “CrescentCore”, rekao je Long.

Istraživač je rekao da će distributeri malicioznih programa često pronaći ranjive blogove ili druge sajtove sa visokom pozicijom u rezultatima Google pretrage i dodati mehanizam preusmeravanja koji preko brojnih afiliejt linkova na kraju preusmerava korisnika na stranicu sa lažnim Flash Playerom.

“Dakle, ako se rezultat koji je ranije bio gotovo nekorišćen kao što je CrescentCore pojavio u rezultatima pretrage, vrlo je verovatno da će i drugi rezultati pretrage preusmeravati na ovaj malver”, rekao je on.

Stranica koja širi malver prikazuje upozorenje za ažuriranje programa Adobe Flash Player. Kada se klikne na ovo upozorenje preuzima se ili novi OSX/CrescentCore malver ili ranije otkriveni OSX/Shlayer malver.

Međutim, za razliku od tipičnog lažnog Flash Player ažuriranja, OSX/CrescentCore ima neke dodatne mogućnosti kojima otežava antivirusima da ga otkriju, a još više otežava posao analitičarima malvera koji žele da ga analiziraju.

Kada se malver preuzme, on će prvo probati da utvrdi da li se pokreće u okruženju virtuelne mašine ili ako je antivirusni softver prisutan na računaru, malver će se jednostavno ugasiti.

“Analitičari malvera često ispituju malvere unutar VM kako bi izbegli slučajnu infekciju svojih računara dok rade sa opasnim fajlovima, tako da autori malvera ponekad primenjuju VM detekciju kako bi bilo teže analizirati ponašanje malvera“, kažu istraživači.

Ako ne otkrije VM ni antivirusni softver, malver će instalirati LaunchAgent koji će mu pomoći da se pokreće na zaraženom računaru sa svakim pokretanjem sistema.

Ovo je samo jedan od malvera koji ciljaju Mac sisteme a koji su otkriveni u skorije vreme. Pre desetak dana istraživači Intega otkrili su još jedan novi malver za Mac sisteme - OSX/Linker koji koristi ranjivost u MacOS.

“Programeri malvera za Mac postaju pametniji, pokušavajući da otežaju otkrivanje zlonamerne prirode njihovog softvera“, kaže Long. "Kao što smo naučili sa OSX/Linker, proizvođači Mac malvera takođe eksperimentišu sa novim načinima zaobilaženja Appleovih ugrađenih mehanizama zaštite, pa čak pokušavaju da koriste i ranjivosti nultog dana da bi to uradili.”


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Sezona praznične kupovine uskoro počinje, pa ne bi bilo loše imati na umu novi malver koji krade podatke sa platnih kartica, koristeći steganograf... Dalje