| 1 июля 2019 г. — 4:08 PT
В прошлом месяце было обнаружено не менее шести вредоносных программ для Mac, в том числе одна, которая использует уязвимость в macOS Gatekeeper. Последний образец — OSX/CrescentCore — предпринимает шаги для сокрытия от исследователей безопасности.
Компания Intego сообщает, что нашла CrescentCore на нескольких веб-сайтах, выдавая себя, как вы уже догадались, за обновлятор Flash Player…
Компания сообщила об этом в записи в блоге.
Команда Intego наблюдала распространение OSX/CrescentCore в дикой природе через многочисленные сайты. Пользователи Mac должны остерегаться, что они могут столкнуться с ним, даже через кажущиеся безобидными источники, такие как результаты поиска Google.
Новая вредоносная программа впервые была замечена по ссылке с сайта, который якобы бесплатно распространяет цифровые копии новых комиксов — один из многих сомнительных сайтов, которые откровенно нарушают законы США об авторском праве […]
Также было замечено, что высокорейтинговый результат поиска Google перенаправляется через несколько сайтов, в конечном итоге приводя на страницу (размещенную на любом из большого количества доменов) с яркими предупреждениями о том, что Adobe Flash Player якобы нуждается в обновлении — что на самом деле является сайтом распространения вредоносных программ.
Как отмечает компания, сомнительные сайты, претендующие на предложение бесплатных версий фильмов, телешоу, музыки и книг, являются чрезвычайно распространенным источником вредоносных программ.
Как CrescentCore скрывается от исследователей безопасности
CrescentCore предпринимает два шага, чтобы скрыть себя от исследователей безопасности.
Если пользователь открывает образ диска .dmg и открывает приложение Player (которое имеет значок Flash Player), троян сначала проверяет, запущено ли оно внутри виртуальной машины (VM). Аналитики вредоносного ПО часто изучают вредоносное ПО внутри VM, чтобы избежать непреднамеренного заражения своих собственных компьютеров при работе с опасными файлами, поэтому авторы вредоносного ПО иногда реализуют обнаружение VM и ведут себя по-разному, чтобы затруднить анализ поведения вредоносного ПО.
Троянское приложение OSX/CrescentCore также проверяет, установлены ли какие-либо популярные антивирусные программы для Mac.
Если вредоносное ПО определяет, что оно работает в среде VM или с присутствующим антивирусным программным обеспечением, оно просто завершит работу и не будет выполнять никаких дальнейших действий.
Мы повторяем совет Intego относительно Flash.
Никто не должен устанавливать Flash Player в 2019 году — даже настоящий, легитимный. Почти все сайты перестали полагаться на Flash, так как Adobe прекращает его поддержку; компания планирует прекратить выпуск обновлений безопасности для Flash после 2020 года.
Опять же, вредоносное ПО подписано Apple, используя идентификаторы разработчиков, которые были переданы компании, но, вероятно, вскоре будут использоваться новые идентификаторы. Apple ведет постоянную игру «крысиные бега» с идентификаторами разработчиков, которые были взломаны или использованы не по назначению.