Истина где-то ниже
Октябрь 28, 2018

OSX.SearchAwesome внедряет рекламу в защищенный веб-трафик

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Образец неизвестного ранее вредоносного ПО попал в сети исследователя компании Malwarebytes Адама Томаса (Adam Thomas). Программа атакует компьютеры под управлением macOS и внедряет свой скрипт в посещаемые жертвой веб-сайты. Используя метод «человек посередине», макрос лишь добавляет во все открытые пользователем страницы рекламу, однако может выполнить любой код, полученный с командного сервера.

Штамм, получивший название OSX.SearchAwesome, попадает на устройство в составе взломанного приложения, раздаваемого через торрент-файл. Зловред представляет собой компактный образ диска, который идет в комплекте вместе с установщиком взломанной программы. Скрипт скрытно размещает в системе свои компоненты, выводя на экран лишь два системных запроса, требующих ввода логина и пароля пользователя.

Вредоносное ПО просит жертву одобрить изменение настроек Доверенных корневых центров сертификации (Certificate Trust Settings), а также сетевых параметров. Это необходимо для запуска полезной нагрузки, в состав которой входит прокси mitmproxy, способный проверять, изменять и воспроизводить передаваемые пакеты. Легитимная утилита используется злоумышленниками для внедрения рекламного скрипта в страницы, загружаемые по протоколам HTTP и HTTPS.

Пока что OSX.SearchAwesome ограничивается только этим, но ИБ-специалисты предупреждают, что при необходимости киберпреступники могут внедрить в сайты макрос для майнинга криптовалюты или перенаправлять жертву на фишинговые страницы.

Интересной особенностью зловреда является алгоритм удаления следов своей работы. Специальный скрипт проверяет наличие основного модуля на диске, и если не находит его, отключает прокси-утилиту, передает на командный сервер собранные сведения о предпочтениях пользователя, после чего стирает вспомогательные компоненты приложения.

Исследователи отмечают, что исполняемый файл mitmproxy по-прежнему остается в инфицированной системе и может быть использован в последующих атаках.

В погоне за прибылью киберпреступники, зарабатывающие на нелегитимной рекламе, нередко создают целые цепочки по доставке трафика на криминальные ресурсы. В августе ИБ-специалисты обнаружили более 10 тыс. сайтов, взломанных мошенниками для переадресации посетителей на фишинговые страницы и загрузчики эксплойтов. При этом главная площадка злоумышленников имела статус издателя в легитимной рекламной сети AdsTerra.

Источник: https://threatpost.ru/osxsearchawesome-makes-websites-on-macos-not-so-awesome/28912/