Обнаружена уникальная вымогательская кампания, ориентированная на пользователей Mac OS X. Похоже, что данный зловред распространяется уже некоторое время; его инсталлятор подписан легитимным сертификатом разработчика от Apple.

«К сожалению, этот же сертификат разработчика (выданный Максиму Носкову) уже года два используется в аналогичных атаках, — сокрушается Иоганнес Улльрих (Johannes Ullrich), декан по исследованиям института SANS. — По всей видимости, Apple его еще не аннулировала». (Судя по комментариям к блог-записи Улльриха, к 8 февраля этот сертификат был отозван.)

По словам эксперта, он наткнулся на эту мошенническую схему, исследуя провокационные рекламные баннеры на Facebook (см. ниже). Одна из таких приманок привела его на сайт emgn[.]com, на котором, вероятно, размещалась вредоносная реклама с всплывающим окном, утверждающим, что Adobe Flash Player посетителя якобы устарел. Примечательно, что Улльрих на тот момент работал на виртуальной машине с абсолютно чистой дефолтной OS X 10.11 и Flash не был встроен в ее образ.

провокационная реклама на Facebook

Если пользователь активирует кнопку загрузки во всплывающем окне, он загрузит фальшивый антивирус вместе с легитимной, текущей версией Flash Player.

Обойти Gatekeeper зловреду, скорее всего, помогает цифровая подпись, сгенерированная с помощью легитимного сертификата. Этот защитник OS X разрешает загрузку приложения лишь в том случае, если источник — Apple App Store или если оно подписано сертификатом Apple. Некоторые способы обхода Gatekeeper продемонстрировал исследователь Патрик Уордль (Patrick Wardle), эти лазейки Apple впоследствии частично закрыла.

В данном случае вредоносное ПО не заметил не только Gatekeeper, но также XProtect, встроенная в OS X антивирусная защита. Более того, по свидетельству Улльриха, его вначале не детектили также многие антивирусы из коллекции VirusTotal, но затем этот пробел был быстро восполнен.

После установки вымогателя жертве выводится окно с кнопкой для запуска скана на наличие проблем. При этом ему отображаются логотипы известных ИБ-компаний, якобы удостоверяющих подлинность данного сканера. Разумеется, результат оказывается плачевный: на машине «найдены» ряд вирусов, троянцев и т.п.; их предлагается удалить с помощью другого инструмента, за который нужно платить.

Улльрих полагает, что вредоносный сайт перед загрузкой проверяет отпечаток браузера, чтобы атаковать лишь пользователей OS X. Для Windows мошенническое предупреждение даже не выводится. Загрузка легальной версии Flash, по мнению эксперта, призвана создать иллюзию законности всей процедуры.

«Первичное уведомление о необходимости обновления Flash мне показалось довольно убедительным, — сообщает Улльрих. — Что касается устанавливаемого зловреда, я нахожу, что вирусописатели несколько перестарались, и он вышел не очень правдоподобным. Тем не менее мне доводилось встречать тех, кто стал жертвой аналогичных подделок».

Категории: Вредоносные программы, Мошенничество