Пользователи Mac снова атакованы поддельным обновлением Adobe Flash

1. О Грэм Клули

Пользователям Mac вновь предлагается проявлять осторожность при установке обновлений для Adobe Flash Player после обнаружения поддельного обновления, заражающего компьютеры.

Эксперты по безопасности Intego определили несанкционированный установщик пакетов как вариант OSX / InstallCore и обновили Intego VirusBarrier определения для обеспечения защиты.

Атака in-the-wild была распространена в виде файла .pkg установщика пакета Mac, также известного как плоский пакет, и была подписана с помощью легитимного сертификата Developer ID - эффективно обманывая встроенную в OS X безопасность Gatekeeper. что файлы могут быть доверенными и не являются вредоносными.

Любопытно, что если установщик пакета Mac с именем Product.pkg находится за пределами тома DMG, а установщик тома DMG отключен, то вы получите сообщение об ошибке «Отсутствуют параметры».

Однако, если установщик пакетов находится на томе DMG, вам будет предложено продолжить установку.

В результате жертвы могут обнаружить, что на их компьютерах с OS X установлено несколько потенциально нежелательных программ (PUP), установленных в их системах. Исследователи Intego сообщают, что сторонние приложения, которые, как они видели, были установлены поддельным обновлением Adobe Flash, включают MegaBackup, ZipCloud и MacKeeper.

В код установщика встроено сообщение об авторских правах, ссылающееся на израильскую компанию, которая разрабатывает платформу для установки программного обеспечения InstallCore, и в прошлом подвергалось критике за "закрывать глаза на вредоносные программы" :

Copyright © 2016 ironSource. Все права защищены.

Два месяца назад мы описали, как более ранняя версия OSX / InstallCore была распространена после того, как пользователи Mac начали видеть поддельные всплывающие предупреждения о том, что Adobe Flash требует обновления, что привело к установке на их компьютеры программ-шпионов.

Как в этом, так и в предыдущем случае, злоумышленники онлайн подписали свой вредоносный код сертификатом Apple-разработчика, что позволило вредоносному ПО обойти ключевую часть встроенной защиты OS X.

В попытке предотвратить заражение вредоносного кода компьютерами OS X по умолчанию вам разрешено запускать только те программы, которые были загружены из официального App Store или получены от «идентифицированных разработчиков».

Используя действующий сертификат Apple для разработчиков, злоумышленники обманывают OS X, полагая, что их коду можно доверять и выполнять - с потенциально опасными последствиями.

Есть множество способы использовать дыры в безопасности в OS X Gatekeeper чтобы позволить вредоносному коду проникнуть на компьютеры, но в настоящее время кажется, что самый простой способ - это подписать ваш код сертификатом разработчика.

Все это поднимает вопрос - откуда злоумышленники получают действительные сертификаты разработчика Apple?

Определенная возможность состоит в том, что некоторые разработчики OS X слишком небрежны в отношении собственной безопасности и не осознают необходимость надлежащей защиты своих сертификатов от хакеров.

На момент написания, скомпрометированный сертификат Apple ID разработчика (MDK7FNV856, на имя Николая Николая Ластовка) не был отозван.

По-видимому, бесконечные рекомендации Adobe по поводу недавно обнаруженных дыр в безопасности во Flash Player сделали критические обновления регулярным явлением. Существует определенная ирония в том, что специалисты по безопасности посвятили много времени предупреждению широкой общественности о важности установки исправлений и обновлении своих установок Flash только для того, чтобы увидеть, как онлайновые преступники используют ситуацию, выпуская свои собственные атаки в качестве предупреждений о том, что Flash необходим быть обновленным.

Возможно ли, что безопасность всех пользователей OS X подвергается риску, потому что некоторые разработчики не видят угрозы нападения на их собственные компьютеры Mac и неосторожно позволяют взломать себя и украсть конфиденциальные сертификаты?

В конечном счете, единственное безопасное место для получения обновления Adobe Flash Player - это от самого Adobe и если вы не уверены - прочитайте наше руководство на как узнать, действительно ли обновление Adobe Flash ,

Лучшим советом для многих пользователей может быть то, что вы настроили Adobe Flash Player на автоматическое обновление, сохраняя при этом возможность запуска обновлений вручную, если вы не можете дождаться, когда Adobe приступит к обновлению вашей системы.

Если вы все еще считаете, что дыры в безопасности в Adobe Flash по-прежнему вызывают беспокойство, вы можете предпринять дальнейшие действия, такие как полностью удалить Adobe Flash ,

О Грэм Клули

Грэм Клули - отмеченный наградами блоггер по вопросам безопасности, исследователь и оратор. Он работает в индустрии компьютерной безопасности с начала 1990-х годов, работая в таких компаниях, как Sophos, McAfee и Dr Solomon's. Он выступал с докладами о компьютерной безопасности для некоторых крупнейших мировых компаний, работал с правоохранительными органами над расследованиями хакерских групп, и регулярно появляется на телевидении и радио, разъясняя угрозы компьютерной безопасности. Грэм Клули был включен в Зал славы InfoSecurity Europe в 2011 году и был отмечен в «10 величайших британцах в истории информационных технологий» за вклад в качестве ведущего авторитета в области интернет-безопасности. Следуйте за ним в Твиттере на @gcluley , Просмотреть все сообщения от Graham Cluley →

Похожие

Комментарии