Выбирай : Покупай : Используй
0

От вируса под Mac спасает только переустановка ОС

Вредоносное ПО Mughthesec, распространяемое с помощью рекламы, маскируется под установочный файл Adobe Flash Player. После установки, на которую пользователь должен дать согласие, вирус меняет систему поиска в браузере Safari. Исследователи кибербезопасности считают, что единственный эффективный способ удалить Mughthesec — это переустановить macOS.

Атака Mughthesec

В Сети распространяется новое вредоносное ПО под названием Mughthesec, перед которым уязвимы все устройства под управлением macOS. Mughthesec является усовершенствованной версией давно известного вируса OperatorMac. Такого мнения, в частности, придерживается исследователь кибербезопасности Томас Рид (Thomas Reed) из компании-разработчика антивирусного ПО Malwarebytes.

Неизвестно точно, как давно Mughthesec начал работу. В соцсети Twitter пользователь по имени Neal пишет, что сталкивался с ним как минимум шесть месяцев назад. В блоге Objective-See исследователь кибербезопасности Патрик Вордл (Patrick Wardle) из компании Synack опубликовал анализ Mughthesec.

Как это работает

По наблюдениям Ворлда, Mughthesec маскируется под Player.dmg, установочный файл Adobe Flash Player для Mac, который инсталлирует на устройство сам плеер, приложение Advanced Mac Cleaner и расширения Safe Finder и Booking.com для браузера Safari. Mughthesec распространяется через рекламу и всплывающие окна. Для успеха атаки пользователь должен дать согласие на установку Safe Finder.

Обычно вредоносное ПО, распространяемое через рекламу, взламывает браузер жертвы с целью извлечения финансовой выгоды. После установки Mughthesec меняет домашнюю страницу браузера на http://default27061330-a.akamaihd.net/s?q=@@@&_pg=564D4420-C090-470B-9C13-6760B31264E7. Внешне страница выглядит безобидно — там почти ничего нет кроме строки поиска. Однако на деле она содержит скрипты Safe Finder.

Новый вирус Mughthesec является усовершенствованной версией давно известного OperatorMac

Кроме того, в браузер устанавливается расширение Any Search. В процессе поиска запрос проходит через ряд аффилированных инстанций, прежде чем наконец обрабатывается системой Yahoo Search. Иконки и скрипты Safe Finder присутствуют во всех результатах поиска.

Способы ликвидации

Mughthesec имеет подпись разработчика Apple, благодаря которой на него не реагирует GateKeeper. Также у него есть механизм, который не позволяет антивирусным программам его обнаружить. По крайней мере, ни один инструмент онлайн-сканнера Virus Total на Mughthesec не отреагировал, сообщает Ворлд. Пользователь Twitter Гавриель Стейт (Gavriel State), который первым обратил внимание на Mughthesec, подтверждает, что вирус в состоянии обмануть защиту.

По мнению Ворлда, Mughthesec можно загрузить на ПК жертвы сколько угодно раз. Поэтому простое удаление не является эффективным методом борьбы с вирусом. Исследователь рекомендует переустановить на устройстве macOS, чтобы наверняка избавиться от угрозы.

 Распечатать
Комментарии