En anden PSA igen: Malware forklædt som Adobe Flash målretter macOS

Malware til Mac er på vej. Vær opmærksom på et muligt angreb forklædt som et Adobe Flash-installationsprogram.

En tiår gammel Windows-malware-trojanske malede sig ind i macOS-økosystemet, komplet med et underskrevet (sandsynligvis stjålet) Apple-udviklercertifikat. Udnyttelsen vises som et Adobe Flash Player-installationsprogram. Når tilladelse er givet, skjuler den sig dybt inde i macOS mapper. Dens certifikat er allerede blevet tilbagekaldt af Apple, men det er godt at være opmærksom på dine fjender.

Ifølge Fox-IT, Snake, er en malware-ramme, der har inficeret Windows-software siden 2008, og nyere Linux, nu målrettet mod Mac.

Nu har Fox-IT identificeret en version af Snake-målretning Mac OS X.
Da denne version indeholder fejlfindingsfunktioner og blev underskrevet i februar 21st, 2017 er det sandsynligt, at OS X-versionen af ​​Snake endnu ikke er i brug.
Fox-IT forventer, at angriberne ved hjælp af Snake snart vil bruge Mac OS X-varianten på mål.

Slanger er farlige, og her er hvorfor

I lighed med Dok trojanen vi hørte om tidligere i denne uge, Snake dukkede op med et autentificeret udviklercertifikat, hvilket betyder at Macs indbyggede sikkerhedssystem, Gatekeeper, ville overveje det legit og lade installationsprocessen fuldføre.

Det er vigtigt at bemærke, at Apple allerede har tilbagekaldt dette falske eller stjålne udviklercertifikat, så Gatekeeper vil blokere det. Der er dog stadig en lille chance for, at nogen downloader Snake ved et uheld, hvis de har fundet det gennem tvivlsomme kanaler. Malwarebytes forklarer:

Heldigvis har Apple tilbagekaldt certifikatet meget hurtigt, så denne installatør er ingen yderligere fare, medmindre brugeren er narret til at downloade den via en metode, der ikke markerer den med et karantæneflag (f.eks. Via de fleste torrentapps).

Hvordan Snake slithers ind i din Mac

Ligesom de fleste malwareangreb vises Snake ikke kun magisk på din Mac en dag. Der er ikke nogen, der skyder beskadigede filer via dit ethernet-kabel direkte ind i din software. Slange skal hilses velkommen til dit operativsystem af dig.

Tænk på det er en vampyr. Hvis du ikke inviterer det til dit hjem, kan det ikke angribe dig.

Filen, navngivet Installer Adobe Flash Player.app.zip, ser ud til at være et Adobe Flash-installationsprogram (Sig hvad du vil om Flash, men der er stadig mange mennesker, der skal bruge det til skole eller arbejde). Fra Malwarebytes:

Hvis appen åbnes, vil den straks bede om en administratorbrugeradgangskode, som er typisk adfærd for et ægte Flash-installationsprogram. Hvis en sådan adgangskode er angivet, fortsætter adfærden med det rigtige.

Interessant nok, når installationen er færdig, er Flash faktisk installeret på Mac'en, hvilket gør det endnu sværere at fortælle, at det er en trojan.

Sådan kan du beskytte dig mod Snake

Som nævnt ovenfor er det falske / stjålne udviklercertifikat, der tillod Snake at få et pass fra Gatekeeper, allerede blevet tilbagekaldt, så det er sandsynligt, at selvom du downloader zip-filen og forsøger at åbne appen, vil dit indbyggede sikkerhedsprogram sig, "Nope Dope!"

Men for at opdatere bedste praksis, hvis du modtager en email med en vedhæftet fil slet, gør nogle due diligence for at sikre, at det er fra en legitim kilde. Kontroller afsenderadressen for at sikre, at den er fra en adresse, du genkender. Klik på afsenderens navn for at se den e-mail-adresse, den blev sendt fra, for at sikre, at det ikke er en spoofed email. Hvis du stadig er i tvivl, bekræft med afsenderen ved at sende, ringe eller sende en adskille E-mail spørger, om vedhæftet fil er legitimt.

Specifikt for Snake trojanen, undgå at downloade zip-filer med navnet Installer Adobe Flash Player.app.zip.

Hvad skal man gøre, hvis Snake allerede slår dig

Kan du lide mine slangeord?

Hvis du tror at du måske har lykkedes at tilfældigt installere Snake trojanen på din Mac, kan du finde og slette følgende filer:

  • /Library/LaunchDaemons/com.adobe.update.plist
  • /Library/Scripts/installd.sh
  • / Bibliotek / Scripts / kø
  • /var/tmp/.ur-*
  • /tmp/.gdm-socket
  • /tmp/.gdm-selinux

Dernæst slet det stjålne / falske underskrevne Apple Developer-certifikat.

  1. Launch Finder.
  2. Type Applikationer.
  3. Åbn din Hjælpeprogrammer mappe.
  4. Dobbeltklik på Hovednøglering.
  5. Vælg certifikat navngivet Adobe Flash Player installer med det underskrevne certifikat udstedt til Addy Symonds.
  6. Højre eller Control + klik på certifikat.
  7. Type Slet certifikat fra drop down muligheder.
  8. Type Slette for at bekræfte, at du vil slette certifikatet.

Endelig Skift administratoradgangskode For at sikre at du er bagdør, er genindtastet, så hackerne ikke kan komme ind igen.

Husk bedste praksis for at være sikker

Det er usandsynligt, at Snake slår igennem din Macs bagdør på dette tidspunkt. For det første har Apple tilbagekaldt certifikatet, hvilket gør det næsten umuligt at gennemføre installationsprocessen uden at vide det.

For at gentage, skal du ikke åbne vedhæftede filer fra ukendte kilder. Dobbeltklik på afsenderens emailadresse for at sikre, at den ikke er spoofed. Åbn ikke mistænkelige filer eller give administrator tilladelse til ukendte programmer. Du kan beskytte dig mod angreb, hvis du bliver sikker.

Hvis du ender med malware på din Mac, tag et øjeblik til at slappe af og vide, at alt vil være OK, du kan fjern malware på egen hånd, men hvis det virker for svært for dig at tackle, kan du Tal med Apple support. Nogen vil være i stand til at hjælpe dig.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.