Fałszywe Symantec Blog rozprowadza macOS Proton

Computer Security News

Nowa wersja malware Proton kierowania macOS rozprzestrzenia się fałszywe blog zabezpieczenia uzasadnionych firmy Symantec.

Deweloperzy Proton malware jest symantecblog [dot] com, który jest dobry Imitacja prawdziwego blogu Symantec, a nawet lusterka treści ze strony oryginalnej.

Wygląda na to, że fałszywe blogu promuje aplikację o nazwie “Symantec detektor złośliwego oprogramowania” za pośrednictwem posta o nowej wersji z CoinThief, jednak to faktycznie rozprowadza OSX. Proton.

Okazuje się, że domeny informacje rejestracyjne są legalnego i jego nazwisko i adres są takie same, jak te, które korzysta z firmy Symantec, adres e-mail pokazuje jednak, że coś jest nie tak. Poza tym certyfikat używany dla strony jest uzasadnione certyfikat SSL wydany przez Comodo, a nie przez urząd certyfikacji firmy Symantec.

Eksperci bezpieczeństwa poinformował, że fałszywe i legalnych kontach rozprzestrzeniania się linki do fałszywych blog na Twitter, i hakerzy za tę kampanię zajęte skradzione hasła dostępu do legalnych kont dla promocji szkodliwego oprogramowania.

Aktywowany po raz pierwszy, detektor złośliwego oprogramowania Symantec pokazuje bardzo proste okno, za pomocą logo Symantec, twierdząc, że wymagają autoryzacji do wykonywania sprawdzanie systemu. Według naukowców Jeśli użytkownik zamyka okno w tym momencie, Proton malware nie zostanie zainstalowana w systemie.

W przypadku, gdy potencjalne ofiary zgadza się uruchomić sprawdzanie, wymagane jest hasło administratora i złośliwe oprogramowanie kradnie hasło użytkownika. Po tym aplikacja pokazuje postęp bar twierdząc, że będzie skanowanie komputera, jednak Proton złośliwe oprogramowanie jest instalowane zamiast.

Jako detektor złośliwego oprogramowania Symantec aplikacji jest niczym więcej niż z kroplomierzem złośliwego oprogramowania, powinni wszyscy użytkownicy, którzy pobrali to go usunąć i czyścić ich komputerów naraz.

Jest instalowany w systemie, Proton natychmiast rozpoczyna zbieranie informacji o użytkownikach, takie jak hasła administratora i innych poufnych informacji (PII) i zapisuje wszystkie dane do pliku ukrytego. Plików łańcucha kluczy, przeglądarka automatycznie wypełnić dane, 1Password sklepienia i GPG hasła są także skradzione.

Plik wykonywalny Proton jest odrzucany w katalogu .random i jest utrzymywane uruchomiona przez uruchomienie agenta com.apple.xpcd.plist. Skradzionych informacji jest przechowywany w folderze .cachedir.

“Na szczęście, Apple jest świadomy tego złośliwego oprogramowania i ma odwołany certyfikat użyty do podpisania złośliwego oprogramowania. Pozwoli to uniknąć przyszłych infekcji przez detektor złośliwego oprogramowania firmy Symantec. Odwołania certyfikatu, w sobie, nic nie chronić maszynę, która jest już zainfekowany,” stanu zabezpieczeń eksperci.

Proton malware został stworzony, aby wykraść poświadczenia logowania i dotkniętych użytkownicy powinni podjąć działania awaryjnego po wystąpieniu infekcji. Powinny wziąć pod uwagę wszystkie ich hasłami, jak załatwiać kompromisowo i zmienić je, podczas gdy ustawienie innego hasła dla każdej witryny i przechowywanie ich wszystkich w Menedżer haseł.

Dodatkowo nie hasła głównego powinny być przechowywane w pęku kluczy lub gdziekolwiek indziej na PC i Włączanie uwierzytelniania dwuskładnikowego należy zminimalizować wpływ.


Leave a Reply

Your email address will not be published. Required fields are marked *