Mac Defender - Mac Defender

Mac Defender (znany również jako Mac Protector , Mac Security , Mac Guard , Mac Shield i FakeMacDef ) to fałszywy internetowy program zabezpieczający, który atakuje komputery z systemem macOS . Firma Intego, zajmująca się bezpieczeństwem komputerów Mac, odkryła fałszywe oprogramowanie antywirusowe 2 maja 2011 r., A łatka została dostarczona przez Apple dopiero 31 maja. Oprogramowanie zostało opisane jako pierwsze poważne zagrożenie złośliwym oprogramowaniem dla platformy Macintosh (chociaż nie łączy się z żadną częścią OS X ani nie uszkadza). Nie jest to jednak pierwszy trojan specyficzny dla komputerów Mac i nie rozprzestrzenia się samoczynnie.

Zgłoszono wariant programu, znany jako Mac Guard, który nie wymaga od użytkownika wprowadzania hasła w celu zainstalowania programu, chociaż nadal trzeba uruchomić instalator.

Objawy

Użytkownicy zwykle napotykają program podczas otwierania obrazu znalezionego w wyszukiwarce. Pojawia się jako wyskakujące okienko informujące o wykryciu wirusów na komputerze użytkownika i sugerujące pobranie programu, który po zainstalowaniu udostępnia dane osobowe użytkowników nieuprawnionym stronom trzecim.

Program pojawia się w złośliwych linkach rozpowszechnianych przez zatruwanie optymalizacji pod kątem wyszukiwarek w witrynach takich jak wyszukiwarka grafiki Google . Kiedy użytkownik uzyskuje dostęp do takiego złośliwego odsyłacza, pojawia się fałszywe okno skanowania, początkowo w stylu aplikacji systemu Windows XP , ale później w formie „interfejsu typu Apple”. Program błędnie skanuje dysk twardy systemu. Następnie użytkownik jest proszony o pobranie pliku, który instaluje program Mac Defender, a następnie jest proszony o zapłacenie od 59,95 do 79,95 USD za licencję na oprogramowanie. Zamiast chronić przed wirusami, Mac Defender przechwytuje przeglądarkę internetową użytkownika, aby wyświetlić strony związane z pornografią , a także naraża użytkownika na kradzież tożsamości (przekazując crackerowi informacje o karcie kredytowej). Nowszy wariant instaluje się sam bez konieczności wprowadzania hasła przez użytkownika. Wszystkie warianty wymagają od użytkownika aktywnego kliknięcia przez instalatora, aby zakończyć instalację, nawet jeśli hasło nie jest wymagane.

Pochodzenie

Oprogramowanie zostało prześledzone przez niemieckie strony internetowe, które zostały zamknięte, do rosyjskiej płatności online ChronoPay . Mac Defender został zidentyfikowany przez ChronoPay na podstawie adresu e-mail kontrolera finansowego ChronoPay Alexandra Volkova. Adres e-mail pojawił się podczas rejestracji domeny mac-defence.com i macbookprotection.com, dwóch witryn internetowych, do których użytkownicy komputerów Mac są kierowani w celu zakupu oprogramowania zabezpieczającego. ChronoPay to największy rosyjski procesor płatności online. Witryny internetowe były hostowane w Niemczech i zawieszone przez czeskiego rejestratora Webpoint.name. ChronoPay był wcześniej powiązany z innym oszustwem, w którym użytkownicy zaangażowani w udostępnianie plików zostali poproszeni o zapłacenie grzywny.

Odpowiedź Apple

Według Sophos, do 24 maja 2011 r. Było sześćdziesiąt tysięcy telefonów do pomocy technicznej AppleCare w sprawie problemów związanych z Mac Defender, a Ed Bott z ZDNet poinformował, że liczba połączeń do AppleCare wzrosła w wyniku działania Mac Defender i że większość zgłoszeń w tamtym czasie dotyczyła Mac Defender. Pracownikom AppleCare powiedziano, aby nie pomagali dzwoniącym w usuwaniu oprogramowania. W szczególności pracownikom wsparcia powiedziano, aby nie instruowali dzwoniących, jak używać Force Quit i Activity Monitor do zatrzymywania Mac Defender, a także aby nie kierowali rozmówców do żadnych dyskusji dotyczących problemów spowodowanych przez Mac Defender. Anonimowy pracownik wsparcia AppleCare powiedział, że Apple wprowadził politykę, aby uniemożliwić użytkownikom poleganie na pomocy technicznej zamiast programów antywirusowych.

Pracownikom AppleCare powiedziano, aby nie pomagali dzwoniącym w usuwaniu oprogramowania, ale Apple obiecał później aktualizację oprogramowania. W dniu 24 maja 2011 r. Firma Apple wydała instrukcje dotyczące zapobiegania i usuwania złośliwego oprogramowania. Aktualizacja zabezpieczeń 2011-003 systemu Mac OS X została wydana 31 maja 2011 r. I obejmuje nie tylko automatyczne usuwanie trojana i inne aktualizacje zabezpieczeń, ale także nową funkcję, która automatycznie aktualizuje definicje złośliwego oprogramowania z firmy Apple .

Zobacz też

• Leap (robak komputerowy)
• Fakeflash

Bibliografia