Novi malver za Mac se širi preko rezultata Google pretrage

Opisi virusa, 03.07.2019, 02:00 AM

Istraživač Džošua Long iz kompanije Intego otkrio je novi malver koji inficira Mac računare.

Malver nazvan OSX/CrescentCore, je trojanac, a primećen je na raznim sajtovima gde je predstavljen kao instaler Adobe Flash Playera. Na inficiranom računaru, ovaj malver instalira zlonamerne aplikacije i ekstenzije pregledača.

OSX/CrescentCore se širi preko raznih sajtova, gde je maskiran u Adobe Flash Player. Međutim, “instaler” je zapravo .dmg fajl koji isporučuje malver.

Jedna verzija malvera preuzima potencijalno neželjene aplikacije, softver kao što je OSX/AMC (skraćeno od “Advanced Mac Cleaner”). Druga verzija OSX/CrescentCore pokušava da instalira malicioznu ekstenziju za Safari.

Neki od brojnih sajtova preko kojih se širi malver pojavljuju se u rezultatima Google pretrage. Jedan takav sajt, “GetComics”, navodno besplatno nudi digitalne kopije novih stripova.

Malver se takođe širi preko visoko rangiranih rezultata Google pretrage, koji preusmeravaju korisnike na više sajtova.

"Mi smo zapravo bili u procesu pronalaženja imena za CrescentCore, i tražili “CrescentCore” pod navodnicima, a jedan od linkova na prvoj stranici rezultata pretraživanja preusmeravao je na stranicu koja je distribuirala novi uzorak “CrescentCore”, rekao je Long.

Istraživač je rekao da će distributeri malicioznih programa često pronaći ranjive blogove ili druge sajtove sa visokom pozicijom u rezultatima Google pretrage i dodati mehanizam preusmeravanja koji preko brojnih afiliejt linkova na kraju preusmerava korisnika na stranicu sa lažnim Flash Playerom.

“Dakle, ako se rezultat koji je ranije bio gotovo nekorišćen kao što je CrescentCore pojavio u rezultatima pretrage, vrlo je verovatno da će i drugi rezultati pretrage preusmeravati na ovaj malver”, rekao je on.

Stranica koja širi malver prikazuje upozorenje za ažuriranje programa Adobe Flash Player. Kada se klikne na ovo upozorenje preuzima se ili novi OSX/CrescentCore malver ili ranije otkriveni OSX/Shlayer malver.

Međutim, za razliku od tipičnog lažnog Flash Player ažuriranja, OSX/CrescentCore ima neke dodatne mogućnosti kojima otežava antivirusima da ga otkriju, a još više otežava posao analitičarima malvera koji žele da ga analiziraju.

Kada se malver preuzme, on će prvo probati da utvrdi da li se pokreće u okruženju virtuelne mašine ili ako je antivirusni softver prisutan na računaru, malver će se jednostavno ugasiti.

“Analitičari malvera često ispituju malvere unutar VM kako bi izbegli slučajnu infekciju svojih računara dok rade sa opasnim fajlovima, tako da autori malvera ponekad primenjuju VM detekciju kako bi bilo teže analizirati ponašanje malvera“, kažu istraživači.

Ako ne otkrije VM ni antivirusni softver, malver će instalirati LaunchAgent koji će mu pomoći da se pokreće na zaraženom računaru sa svakim pokretanjem sistema.

Ovo je samo jedan od malvera koji ciljaju Mac sisteme a koji su otkriveni u skorije vreme. Pre desetak dana istraživači Intega otkrili su još jedan novi malver za Mac sisteme - OSX/Linker koji koristi ranjivost u MacOS.

“Programeri malvera za Mac postaju pametniji, pokušavajući da otežaju otkrivanje zlonamerne prirode njihovog softvera“, kaže Long. "Kao što smo naučili sa OSX/Linker, proizvođači Mac malvera takođe eksperimentišu sa novim načinima zaobilaženja Appleovih ugrađenih mehanizama zaštite, pa čak pokušavaju da koriste i ranjivosti nultog dana da bi to uradili.”