Mughthesec Adware: MacOS Attack obchází ochranu Gatekeeper

Vědci v oblasti bezpečnosti mají objevil stará verze malwaru Mac, která se objevila ve volné přírodě a podařilo se zbavit strojů Mac, aby generovala zisk pro útočníky.

Útok, nazvaný Mughthesec, se zdá být modifikovaným kmenem známého adware útoku známého jako OperatorMac. Nicméně nová verze představuje vyvstávající hrozbu pro uživatele Mac, protože adware našel způsob, jak se objevit jako legitimní aplikace a obcházet Apple postavené bezpečnostní systémy.

Číst: Mac Malware: OSX / Dok obtěžuje bezpečnost Apple, ukradne internetovou aktivitu

Mughthec se zabaví jako instalátor Adobe Flash - běžný převlek pro škodlivé programy - a nainstaluje se na zařízení oběti, pokud souhlasí s instalací neoprávněné aktualizace Flash.

Jakmile se Mughthesec dostane do počítače oběti, začne hledat povolení ke stažení dalších programů. Adware se pokouší nainstalovat Advanced Mac Cleaner, škodlivou aplikaci představující anti-virus software; Aplikace Safe Finder, aplikace, která zneužívá výsledky vyhledávání v prohlížeči uživatele a přesměruje je na web generující příjmy pro útočníka; a Booking.com, aplikace pro rezervaci hotelových služeb.

Naštěstí se některé aplikace, které adware útok pokusí instalovat, obvykle vypouštějí červené vlajky pro bezpečnostní programy třetích stran. Bohužel, Mughthesec nespouštějí stejnou reakci od vlastních ochran.

Gatekeeper, bezpečnostní funkce společnosti Apple, která kontroluje platnost programu před povolením instalace, je typicky první řadou obrany proti těmto typům útoků. Mughthesec je schopen obejít ochranu, kterou Gatekeeper obvykle poskytuje, protože adware získal - téměř jistě nelegálně - oprávněný certifikát vývojáře společnosti Apple, který řekne Gatekeeperovi, že aplikaci povolí instalovat.

Číst: Mac Malware: Populární Mac App HandBrake kompromitován Malware

Samotný Mughthec také obchází řadu bezpečnostních balíčků třetích stran. Podle služby VirusTotal, která ukazuje, jaký antivirový software detekuje určité hrozby, žádné antivirové programy v současné době nezapisují instalační program Mughthesec jako škodlivý.

Není to poprvé, kdy se škodlivý software podařilo obejít obranu Gatekeepera. Začátkem tohoto roku byla populární aplikace Mac Ruční brzda byla unesena útočníky, kteří vytvořili poškozený instalační program, který doručil malware komukoli, kdo ho stáhl. Malware použil odcizený certifikát vývojáře Apple, který se instaluje na počítač oběti.

Zatímco adware útok může být schopen obejít typické ochrany Apple, je možné ručně odstranit Mughthesec z infikovaného zařízení. Bezpečnostní výzkumník Patrick Wardle stanovil kroky v jeho blogu Objective-See.

Zaprvé, uživatelé budou muset otevřít terminál, program příkazového řádku integrovaný do všech zařízení MacOS. Při otevření terminálu budou uživatelé muset uvolnit agenta spuštění Macthesec zadáním příkazu "launchctl unload ~ / Library / LaunchAgents / com.Mughthesec.plist" do příkazového řádku.

Odtud odstraňte příponu "~ / Library / Application Support / com.Mughthesec / Mughthesec" a "~ / Library / LaunchAgents / com.Mughthesec.plist", stejně jako rozšíření prohlížeče "Any Search". Zatímco by to mělo udělat trik, Wardle doporučuje jediný způsob, jak se ujistit, že infekce je zcela vymazána, je přeinstalovat MacOS.

Zdroj

Šířit lásku

Zanechat komentář