Security Week сообщает о появлении нового варианта macOS-зловреда Proton, распространяемого через твиты со ссылками на запись в фальшивом блоге Symantec.

По свидетельству Malwarebytes, к отчету которой апеллирует репортер, поддельный сайт symantecblog[точка]com представляет собой хорошую имитацию, которая даже заимствует часть контента у оригинала. Кроме скопированного содержимого, на сайте размещена запись о якобы обнаруженном новом варианте троянца CoinThief для macOS.

Для детектирования и удаления новоявленного зловреда авторы записи рекомендуют воспользоваться программой (несуществующей) Symantec Malware Detector. Если пользователь скачает и запустит рекламируемый продукт, он обретет Proton на своем Mac-компьютере.

Информация регистранта вредоносного сайта, по словам исследователей, на первый взгляд может показаться достоверной, так как злоумышленники указали те же имя и физический адрес, под которыми Symantec зарегистрировала собственный сайт. Подлог выдает адрес электронной почты — чей-то личный ящик на ProtonMail. Еще более подозрителен SSL-сертификат, используемый псевдо-блогом: он вполне легитимен, но издан удостоверяющим центром Comodo, а не Symantec.

Как показало расследование, ссылки на вредоносный сайт распространяются в Twitter как с поддельных, так и с законных аккаунтов. Поскольку одной из функций Proton является кража конфиденциальных данных, эксперты предположили, что авторы новой вредоносной кампании использовали украденные троянцем пароли для взлома учетных записей Twitter.

В ходе тестирования замаскированный под антивирус дроппер вначале вывел простейшее окно с логотипом Symantec, запрашивающее авторизацию на проверку системы. Как оказалось, на этом этапе можно выйти из приложения и таким образом избежать заражения. Если потенциальная жертва согласится на «проверку», ее попросят ввести пароль администратора. После ввода пароля зловред показывает ход якобы запущенного сканирования и одновременно устанавливает Proton.

Обновленный троянец нацелен на сбор пользовательских данных, в том числе паролей к аккаунтам администратора (в незашифрованном виде), которые он сохраняет в скрытый файл. Зловреда также интересуют связки ключей (файлы .keychain), данные автозаполнения в браузере, содержимое хранилищ 1Password и пароли к GnuPG — программе для шифрования данных и создания цифровых подписей.

Групповой сертификат разработчика, используемый для подписи данного зловреда, Apple уже отозвала.

Напомним, о Proton Mac-сообщество впервые узнало в начале мая, когда кураторы open-source проекта HandBrake предупредили пользователей о существовании зараженных экземпляров этой программы. Apple тогда же добавила соответствующую сигнатуру в базу XProtect. К осени распространители Proton добрались до серверов Eltima Software и загрузили на них троянизированные версии продуктов этой компании для macOS. Новая вредоносная кампания была быстро купирована, однако, как показала практика, Proton сохранил актуальность как угроза, и его хозяева активно ищут другие способы распространения.

Категории: Аналитика, Вредоносные программы, Мошенничество