Chester Wisniewski, a Sophos Canada biztonsági szakértője, a Sophos NakedSecurity blogból
Az elmúlt hónap(ok)ban óvatosan követtük nyomon a Mac OS X kártevő közösség fejlesztéseit. Végkövetkeztetésünk? Gyorsan fejlődik és sok ötletet a Windows kártevő közösségtől vesz át.
Most tekintsük át ennek a fenyegetésnek a kifejlődését, hogy láthassuk, honnan indult.
2011. május 2: Az első széleskörben terjesztett hamis OS X biztonsági segédprogram mérgezett Google Image keresési találatokon keresztül kezdett terjedni, látszólag véletlenszerű kulcsszavakat és Oszama bin Laden halálát megcélozva. Egy hamis JavaScript feugró ablakot jelenít meg, amely egy Windows XP-s antivírus keresőnek állítja be magát, és közli Önnel, hogy a számítógépe fertőzött.
2011. május 6: Ennél a pontnál már szinte naponta új változatokat látunk megjelenni. Az új minták egy része véletlenszerű pornográf weboldalakat jelenít meg megijesztve Önt és megpróbálja meggyőzni, hogy a Mac gépe fertőzött. Mi még néha azt is láttuk, hogy a MacDefender név Mac Security névre változik.
2011. május 7: Az Anyák napi Google keresések eredményeivel kapcsolatos sikeres SEO mérgezések jelentős növekedését tapasztaljuk a fertőzés mértékében is. Ez a verzió megszabadul a Windows XP hamis JavaScript képernyőjétől és helyette egy professzionális kinézetű hamis Finder jelenik meg, amely „észleli" a Mac gépén található kártevőket.
2011. május 15: Most először kezdjük látni azokat az első próbálkozásokat, amelyekkel megpróbálják a kártevőben levő tartalmat megzavarni, ezáltal elrejteni képességeit. A korai verziókban a regisztrációs kódok egyszerű szövegként tárolódtak, de most már a regisztrációs kódok titkosítva lettek, ezért sokkal bonyolultabb felfedezni azokat.
Az összes ilyen eredeti változat továbbra is bekéri a felhasználótól az Administrator jelszavát a kártevő telepítéséhez. Ahogyan az Apple saját tudásbázis bejegyzésében is javasolja, ez egy figyelmeztető jel és egy kitűnő lehetőség a telepítés megszakítására.
2011. május 25: A Windows-os verziójához hasonlóan az ezen a napon látott legutolsó változat (OSX/FakeAvDI-A) már nem kér adminisztratív azonosítókat. A rendszerbe olyan helyre telepíti magát, ahol csak szokványos felhasználói jogosultság szükséges. Más szavakkal, a támadáshoz nincs a továbbiakban szükség admin jelszóra. A Windows rendszeren a bűnözők mindezt azért tették, hogy elkerüljék az UAC figyelmeztetéseket, és ezt a módszert átvezették a Mac OS X rendszerű változatra is.
Az alábbiakban látható, hogy a legutolsó Mac kártevő támadás miként működik (kattintson a képekre a nagyításokért):
Először is Ön meglátogat egy megmérgezett weboldalt az Apple Safari webböngészőjével. Persze idáig úgy jutott el, hogy Google Images keresések által kiadott veszélyes bélyegképre kattintott rá.
A Safari letölti a fájlt, és automatikusan elkezdi futtatni a „Mac Guard" nevű program telepítőjét:
Hagyományos telepítési folyamatnak tűnik, de nem szükséges megadnia hozzá a felhasználónevét és jelszavát:
A célmeghajtó kiválasztásával az ál-antivírus telepítése megkezdődik:
A telepítés befejeztével a szoftver azt állítja, hogy rengeteg kártevő fenyegetést talált a Mac gépén, de azt javasolja, hogy regisztrálnia kell a programját a fertőzések eltávolításához:
Micsoda? Nincs még regisztrációs száma? Aggodalomra semmi ok, a bűnözők gondoltak erre és arra buzdítják Önt, hogy adja meg bankkártya adatait a szükséges sorozatszám megvásárlásához. Sajnos nem fogja tudni, hogy mit terveznek a bankkártya adataival - de abban biztos lehet, hogy nem jóra fogják használni.
Persze ha Ön futtat antivírus programot a Mac gépén (mint amilyen az ingyenes Sophos Anti-Virus for Mac otthoni felhasználóknak készült változata), akkor Ön és gépe védett, a rosszfiúk pedig nem lesznek képesek megijeszteni és rávenni Önt a bankkártya adatainak megadására.
Ebben az esetben a Sophos a fenyegetést OSX/FakeAv-DI-A néven észleli.
Az Apple állásfoglalása:
„Az elkövetkező napokban az Apple kiad egy olyan Mac OS X szoftverfrissítést, amely automatikusan megtalálja és eltávolítja a Mac Defender kártevőt és az összes ismert változatát is."
Ez igazán jó hír az érintett OS X felhasználóknak, de az újabbnál újabb változatok naponta érkeznek, hogyan fog akkor mindez működni?
Amikor az Apple bemutatta az Xprotect terméket az OS X 10.6 Snow Leopard rendszeréhez, alapvető kártevő észlelést biztosítottak. Az eltelt közel 2 évben csak néhányszor frissítették.
Saját antivírus szoftvert fognak kifejleszteni? Az új változatok gyors és gyakori érkezése miatt egy nagyban különböző szoftver fejlesztési és frissítési módszer szükséges, mint amilyenhez az Apple szokott.
A SophosLabs továbbra is nyomozni fog a Mac kártevők után és el fogja látni a Mac felhasználók védelmét.