Mutacja MACDefendera już nie pyta o hasło
Firma Intego, która na początku maja podała pierwsze informacje o złośliwym programie MACDefender, opublikowała raport o nowej mutacji fałszywego antywirusa.
26.05.2011 13:53
Intego opisuje mutacje OSX/MacDefender.F i OSX/MacDefender.G, które udają antywirusa Mac Guard. W przeciwieństwie do innych mutacji, te pobierane są na komputer użytkownika w dwóch częściach. Nadal wykorzystywane są SEO (Search Engine Optimization) Poisoning Attack oraz XSS (Cross Site Scripting), aby umieścić na często wyszukiwanych stronach fragment skryptu JavaScript, który automatycznie pobierze złośliwy program. Jednak tym razem najpierw na komputer użytkownika trafia niepozornie wyglądający pakiet instalacyjny o sugestywnej nazwie avSetup.pkg, który dopiero po instalacji ściągnie Mac Guard. Ponieważ każde konto użytkownika z uprawnieniami administratora ma możliwość instalacji programów w folderze Aplikacje, instalator po uruchomieniu nie pyta o hasło. Do folderu trafia avRunner — program pobierający fałszywego antywirusa, a po instalacji zacierający po sobie wszelkie ślady.
Ponieważ ataki SEO bardzo skutecznie łapią nieprzyzwyczajonych do ostrożności użytkowników Mac OS X w pułapkę, firma Intego ocenia ryzyko jako średnie. Nowa mutacja programu nie wymaga hasła, co wydatnie zwiększa niebezpieczeństwo infekcji. Pierwszą linią obrony użytkowników w tym przypadku jest oczywiście zdrowy rozsądek i wyłączenie opcji automatycznego otwierania pobranych plików w przeglądarce.
Firma Apple zajęła wczoraj oficjalne stanowisko w sprawie znanych już wariantów MACDefendera i obiecała wydanie poprawki systemu w ciągu najbliższych dni. Poprawka ma automatycznie znajdować i usuwać znane (do wczoraj) mutacje programu. Ciekawe, czy istnienie nowej odmiany zagrożenia również będzie ignorowane przez ekspertów do spraw bezpieczeństwa z Cupertino?