Необычный зловред для macOS нашли ИБ-специалисты. Программа устанавливает в систему собственный прокси-сервер и прослушивает трафик, передаваемый браузером Safari. Единственным видимым последствием взлома является подмена поисковой выдачи Google на аналогичные результаты Bing, однако теоретически киберпреступники способны изменять любые данные из HTTP/HTTPS-запросов жертвы.

По мнению аналитиков, заражение происходит через спам или drive-by-загрузки. Установщик маскируется под обновление Adobe Flash Player, однако на деле доставляет на компьютер два вредоносных скрипта. Первый изменяет настройки интернет-соединения так, чтобы весь трафик проходил через порт 8003, прослушиваемый злоумышленниками, а второй добавляет в связку ключей корневой сертификат безопасности.

Помимо этого, в инфицированную систему устанавливается локальный прокси-сервер Titanium Web Proxy — кроссплатформенная утилита с открытым исходным кодом, которая запускается на macOS, используя платформу MONO. С момента установки программы весь трафик, передаваемый браузером Safari, перехватывается и, при необходимости, изменяется.

Благодаря наличию действительного корневого сертификата прокси-сервер имеет возможность на лету генерировать сертификаты SSL/TLS для запрашиваемых сайтов. Это позволяет зловреду прослушивать не только HTTP-трафик, но также защищенные соединения.

Реализовав таким образом классическую схему атаки «человек посередине», операторы вредоноса пока лишь изменяют результаты поисковых запросов пользователя. ИБ-специалисты считают, что таким образом они монетизируют свою разработку, внедряя в выдачу рекламные объявления, которыми изобилует Bing. Тем не менее, этим же методом можно модифицировать трафик для любых сайтов, а также перехватывать конфиденциальные данные жертвы.

Скорее всего, появление вредоносной программы стало ответом злоумышленников на изменение политики безопасности Safari, где после выхода macOS Mojave были запрещены сторонние плагины и выполнение сценариев AppleScript.

В прошлом году ИБ-аналитик Рафай Балох (Rafay Baloch) рассказал об уязвимости CVE-2018-8383, затронувшей интернет-обозреватель Apple. Баг в коде программы допускал отправку вредоносного запроса на несуществующий порт, что могло привести к открытию вредоносной страницы вместо легитимной и под ее адресом. Возможность подмены была вызвана ошибкой состояния гонки и позволяла киберпреступникам похищать учетные данные жертвы при помощи фишинговых страниц.

Категории: Аналитика, Вредоносные программы