Исследователи обнаружили ориентированный на Mac OS X вариант известного Windows-зловреда Pirrit, который создает на зараженной машине прокси-сервер и внедряет рекламу в веб-страницы. В бостонской Cybereason Labs эту итерацию adware нарекли OSX.Pirrit; на настоящий момент ее функции ограничены показом рекламных баннеров, однако анализ показал, что данный зловред способен на большее.

«Современный OSX.Pirrit серьезной угрозы не составляет, — заявил Threatpost автор находки Амит Серпер (Amit Serper), ведущий специалист Cybereason по исследованию защищенности Mac OS X и Linux. — Однако те, кто стоит за OSX.Pirrit, в принципе могут получить полный доступ к целевой системе».

«Вместо того чтобы показывать рекламный спам, они могут с той же легкостью украсть персональные данные или ноу-хау работодателя, — пишет Серпер на сайте компании. — Или установить кейлоггер, чтобы украсть регистрационные данные к банковскому аккаунту».

Подвергнутые анализу образцы OSX.Pirrit были запрятаны в поддельное обновление Adobe Flash или внедрены в пиратские копии Microsoft Office 2016 и Adobe Photoshop CC. Cybereason опубликовала шелл-скрипт для удаления зловреда, чтобы в случае заражения этим инструментом могли воспользоваться технические специалисты.

«Единственный способ обнаружить его работу (кроме появления непрошеной рекламы) — тщательная проверка списка запущенных процессов, — поясняет Серпер. — На настоящий момент заражений немного, однако мы наблюдаем рост количества вариантов Pirrit для Mac OS».

Обычно такая инфекция влечет показ всплывающей рекламы или рекламы заднего плана, баннеров, внедренных в страницы сайта, либо страниц с умышленно вставленными гиперссылками. Одна из рекламных сетей, связанных с данной вредоносной операцией, была опознана как польская Red Sky. На запрос Threatpost о комментарии ее владельцы не ответили.

«Это рекламное ПО атакует Windows уже некоторое время, но на Mac-компьютерах оно появилось впервые, — отметил Серпер. — Антивирусы начали его распознавать несколько дней назад».

Согласно Microsoft, рекламный зловред Win32/Pirrit был впервые обнаружен в сентябре 2014 года; он раздается преимущественно вместе с бесплатным ПО. Версия Pirrit для OS X, по свидетельству Cybereason, намного «вреднее» Windows-предшественника, так как «OSX.Pirrit захватывает контроль над машиной, а Windows-версия лишь показывает рекламу».

«OSX.Pirrit не использует эксплойты для компрометации Mac, — пишет далее Серпер. — Он проникает на машину посредством простых социально-инженерных трюков, вынуждающих пользователя ввести регистрационные данные для установки фальшивого обновления, к примеру, для Flash».

Обнаруженная Cybereason версия OSX.Pirrit была подписана действительным сертификатом Apple, чтобы ее установка не вызывала подозрений у встроенной защиты OS X. По свидетельству экспертов, этот зловред создан с помощью фреймворка Qt, то есть, «вероятно, был написан знатоком Linux, имеющим слабое представление о разработке на OS X».

«Хотя недостаток вредоносного ПО для Mac OS X дает мало материала для изучения, это не означает, что компьютерам Apple не грозит заражение», — предостерегает в заключение Серпер.

Категории: Аналитика, Вредоносные программы