周日晚上,来自安全研究员的一系列推文@noarfromspace.揭示了osx.proton恶意软件的新变种,伴随着关于新方法欺骗安全公司赛门铁克的博客。

感染方法

通过Symantecblog [Dot] Com的假赛门铁克博客网站正在推广恶意软件。该网站很好地模仿真正的赛门铁克博客,甚至镜像相同的内容。首先,使用与合法的赛门特网站相同的名称和地址,将域名的注册信息显示为合法的。用于注册域的电子邮件地址是一个死亡的赠品,但是:

更具可疑的是该网站使用的证书。它是合法的SSL证书,但是由Comodo而不是Symantec自己的证书颁发机构发布。

假设有一个关于一个关于一个假设的新版本的Cointhief的博客文章,从2014年起了一块恶意软件。假期声称已经发现了一个新的Cointhief变体。事实上,据我所能确定,这是一个制作的故事,并且实际上没有这种Cointheie的这种新变种。

假帖宣传一个名为“Symantec Malware探测器”的程序,据说是检测和删除恶意软件。没有这样的程序实际存在。

不幸的是,与假职位的链接一直在推特上传播。关注链接的一些帐户似乎是假账户,但其他人似乎是合法的。鉴于质子恶意软件的主要目标是窃取密码,这些可能是被黑客攻击的帐户,其密码在以前的质子爆发中受到损害。然而,他们也可以简单地成为人们被欺骗的结果思考假博客帖子是真实的。

下载并运行“赛门铁克恶意软件探测器”的用户将被感染恶意软件。

恶意软件行为

运行时,恶意赛门铁克恶意软件检测器应用程序使用Symantec Logo显示一个非常简单的窗口:

如果用户此时退出应用程序,则实际上不会安装恶意软件。但是,让我们诚实 - 如果你被欺骗下载并打开这个应用程序,你可能不会在这一点上扣除。

点击“检查”按钮导致管理员密码的请求:

平均MAC用户已经看到了这些类型的密码请求以前,因此,这不太可能在这对其进行这一点的用户之间举起怀疑。实际上,这是一个非常好的假冒,并将给予恶意软件您的密码。(与合法密码请求不同,这旨在模仿,它不会给出请求软件用户的密码。)

如果提供了管理密码,则应用程序将显示据称扫描计算机的进度条。

但是,实际上,该应用程序已安装质子恶意软件。

恶意软件将开始捕获信息,包括在清除文本中记录用户的管理员密码,其中许多其他个人识别信息(PII)到隐藏文件:

[...] <元数据> <日期> 2017-11-19T20:29:19.801z  <序列> *********  <用户名> test   test   test%e2%80%99s mac   testpw   10.12.6   EN_US   [...]

恶意软件还捕获和删除像keychain文件,浏览器自动填充数据,1Password保管库和GPG密码等内容。由于恶意软件已遗漏用户的密码,因此黑客将能够将钥匙屑文件最少解密。

妥协指标

赛门铁克恶意软件探测器应用程序据我所能确定完全构造的名称。如果您在下载文件夹中看到此类应用程序,或者在应用程序文件夹中可能取决于用户将其放在的位置 - 它应该删除。

如果您不确定应用程序是否实际恶意,则可以检查代码签名。在终端中输入以下命令,替换实际路径:

CodeSign -DVVV“Path / To / Symantec Malware Detector.App”

恶意应用程序已由名为Sverre Huseby的某人签名,使用具有E224M7K47W的团队标识符的证书。与此证书签署的任何内容都应该被视为恶意。

运行此恶意“丢弃器”应用程序后,系统将在系统上找到以下路径:

/library/launchagents/com.apple.xpcd.plist /library/.cachedir/ /library/.random/

.random目录保存恶意质子可执行文件,它被com.apple.xpcd.plist启动代理保持运行。.cachedir文件夹包含已有或将被灭绝的数据。

除了这些文件外,/私有/ etc / sudoers文件将被修改。以下行将添加到最后:

默认值!tty_tickets.

应该从sudoers文件中删除该行。

幸运的是,Apple了解这个恶意软件,并撤消了用于签署恶意软件的证书。这将防止赛门铁克恶意软件探测器的未来感染。自身撤销证书不会做任何事情来保护已经感染的机器。

含义

必威平台APPMalwareby for Mac.将免费检测和去除质子感染。如果您发现您的MAC被感染,则非常容易删除恶意软件。但是,删除恶意软件只是解决方案的一部分。

由于质子旨在窃取登录凭据,因此您需要在感染后采取一些紧急情况。您应该将所有在线密码视为妥协并更改所有这些密码。当您处于现场时,请务必在每个站点上使用不同的密码,并使用a密码管理器(例如1password或lastpass)以跟踪它们。由于1password vault是质子的目标,因此请确保您不要将密码管理器的主密码存储在钥匙串或计算机上的其他任何地方。这应该是您记忆的唯一密码,它应该是强大的。

您还应该在每个帐户上启用双因素身份验证,允许您这样做。这将使未来的这种违规的影响最小化通过确保黑客需要的不仅仅是访问您的帐户的密码。

除了密码外,您还应考虑可能是妥协一部分的其他信息。例如,如果您在钥匙串中存储信用卡号或其他敏感数据,则应将其视为损害,并且您应该相应地响应。

一如既往地,如果雇主妥协的机器由您的雇主发给您,或者有公司数据,则应立即通知。如果不这样做可能会导致违反贵公司的系统。

结论

Proton在3月份初始出现后一直在循环。它先前已通过手写申请的妥协和类似的折衷耦合Eltima软件应用程序。质子很可能会继续流传,并将继续发生类似的事件。

质子说明了MAC社区中的越来越多的问题。普遍存在的态度,您可以避免Mac Malware,如果您谨慎,在面对供应链攻击时失败,例如手写字幕和Eltima软件系统的黑客。

此外,所谓的“假新闻”用于分发恶意软件是一种非常危险的威胁。由于令人讨厌的MAC广告软件的普遍普遍存在,许多人这些日子正在寻求下载MAC的恶意软件删除软件。不幸的是,通常情况下,在搜索后,这些软件将在提供可疑结果,或者在社交媒体或论坛上的黑客或虚假账户的推荐之后下载。

MAC是越来越多的恶意软件的目标。他们不再被认为是安全的。“Macs不会获得病毒”的旧建议,仍然可以在许多以Comentic论坛中找到回声,从未如此,这对这些事件进行了越来越明显。由于您有Mac的事实造成了虚假的安全感,请不要堕落受害者!