Підроблені Symantec блог розподіляє macOS Proton

Computer Security News

Підроблені блог, законні безпеки компанії Symantec поширюється нову версію протон шкідливих програм орієнтації macOS.

Розробники протон шкідливих програм, створених symantecblog [dot] com, яка є гарним імітація реального блогу Symantec і навіть відображає вміст з оригінальної веб-сайт.

Схоже, що підроблені блог сприяє заявку, названий “Symantec шкідливих програм детектор” через пост про нову версію з CoinThief, однак, вона фактично розподіляє OSX. Протон.

Виявляється, що до домену реєстрації інформації є законним і його ім’я та адресу так само, як ті, які використовує Symantec, однак, адресу електронної пошти показує, що щось не так. Крім того, сертифікат використовується для веб-сайту є законні SSL-сертифікат, виданий Comodo а не центру сертифікації компанії Symantec.

Безпека експерти повідомили, що підроблені і законних рахунку поширення посилання на підроблені блог на Twitter, і хакери позаду цієї кампанії могли використовувати паролі для доступу до законних рахунків для сприяння шкідливі програми.

Який активується вперше, Symantec шкідливих програм детектор додаток показує дуже простий вікно, за допомогою Symantec логотип, стверджують, що вимагають авторизації здійснювати перевірку системи. На думку дослідників якщо користувач закриває вікно на даний момент протон шкідливі програми не буде встановлена на систему.

У випадку, якщо потенційна жертва погоджується з тим, щоб запустити перевірку, запитується пароль адміністратора і шкідливі програми краде пароль користувача. Після цього додаток показує прогрес бар стверджуючи, для сканування комп’ютера, однак, протон зловмисне програмне забезпечення встановлено замість цього.

Як детектор Symantec шкідливих додатків є не більш ніж крапельницею шкідливих програм, всі користувачі, які завантажили його візовими видаліть його і спробуйте очистити свої комп’ютери за один раз.

Встановлені на системі, протон негайно починає збирати відомості про користувача, такі як пароль адміністратора та іншу закриту інформацію (PII) і зберігає всі дані прихований файл. Брелок файли, автозаповнення даних веб-переглядача, склепіння 1Password і GPG паролі вкрадені.

Виконуваний файл протон падає до .random каталогу й зберігається працює com.apple.xpcd.plist запуск агента. Вкрадені інформація зберігається в папці .cachedir.

“На щастя, Apple знає цю шкідливих програм та відкликаний сертифікат, використаний для підписання шкідливі програми. Це дозволить запобігти майбутні інфекції шляхом детектор Symantec шкідливих програм. Скасування сертифіката, сам по собі, нічого не робитиме для захисту машина, яка вже інфіковані,” експерти державної безпеки.

Протон зловмисного програмного забезпечення був створений, щоб вкрасти Логін повноваження і відповідних користувачів рекомендується приймати надзвичайні заходи після інфекції. Вони повинні розглянути всі свої онлайн паролі, як скомпрометований і змінити їх, під час настроювання інший пароль для кожного сайту і зберігати всі з них в менеджер паролів.

Крім того, майстер пароль не повинні зберігатися в зв’язці ключів, або в іншому місці на ПК і сприятливою Двофакторна аутентифікація необхідно звести до мінімуму вплив.


Leave a Reply

Your email address will not be published. Required fields are marked *