MacDownloader
Złośliwe oprogramowanie MacDownloader jest bardzo szkodliwym i silnym zagrożeniem, które może siać spustoszenie, jeśli uda mu się skutecznie skompromitować system. Zagrożenie dla MacDownloadera atakuje systemy z systemem OSX firmy Apple, co może być widoczne po nazwie. Wygląda na to, że autorzy złośliwego oprogramowania MacDownloader propagują je, ukrywając to zagrożenie jako aktualizację programu Adobe Flash Player. To dość zaawansowane zagrożenie jest prawdopodobnie stworzeniem irańskiego APT (Advanced Persistent Threat). Ten APT ma tendencję do podążania głównie za wysokimi profilami, więc zwykli użytkownicy prawdopodobnie nie będą narażeni na szkodliwe oprogramowanie MacDownloader. Według doniesień szkodliwe oprogramowanie MacDownloader było dotychczas wykorzystywane przeciwko amerykańskim kontrahentom obronnym, takim jak Lockheed Martin, Raytheon i Boeing.
Jak działa zagrożenie MacDownloadera
Autorzy szkodliwego oprogramowania MacDownloader wydają się rozprzestrzeniać zagrożenie za pośrednictwem kampanii spamowych. Celem tego e-maila jest przekonanie celu do odwiedzenia strony internetowej, która oferuje bezpłatne programy szkoleniowe i kursy dostosowane do zamierzonej osoby. Jeśli jednak obiekty docelowe spróbują wyświetlić dowolną treść przechowywaną na fałszywej stronie, witryna poprosi ich o pobranie i zainstalowanie aktualizacji aplikacji Adobe Flash Player. Jest to powszechna sztuczka stosowana przez autorów szkodliwego oprogramowania do rozprzestrzeniania swoich dzieł. Jeśli cel padnie w wyniku tego oszustwa i zainstaluje fałszywą aktualizację programu Adobe Flash Player, zagrożenie MacDownloader wyświetli fałszywy pasek postępu instalacji, a następnie wyświetli powiadomienie, które twierdzi, że w systemie użytkownika jest adware. Powinno to z pewnością wywołać czerwoną flagę, ponieważ Adobe Flash Player nie ma na celu posiadania modułów, które mają cokolwiek wspólnego z cyberbezpieczeństwem. Fałszywy alert mówi również, że rzekomo wykryte adware zostanie usunięte z systemu. Następnie szkodliwe oprogramowanie MacDownloader zażąda od użytkowników podania danych logowania, jeśli chcą rozpocząć proces usuwania adware. Uzasadnione narzędzia anty-malware nie będą wymagać od ciebie podania nazwy użytkownika i hasła, a takie dziwne żądania powinny być postrzegane przez użytkowników jako czerwona flaga. Zagrożenie dla MacDownloadera nie zyskuje trwałości na zaatakowanym hoście, co oznacza, że gdy użytkownik go zamknie, zagrożenie nie zostanie uruchomione ponownie. Dopóki cele nie wypełnią swoich danych logowania przed zamknięciem aplikacji, nie powinno być żadnych problemów. Jeśli jednak użytkownik podał złośliwe oprogramowanie MacDownloadera ze swoją nazwą użytkownika i hasłem, zagrożenie zachowa dane w pliku o nazwie „applist.txt”, który zostanie przesłany na serwer C&C (Command & Control) napastnicy.
Jak wspomnieliśmy, zagrożenie dla MacDownloadera nie zyskuje na trwałości, ale nie jest to zgodne z projektem, ponieważ jego twórcy próbowali zapewnić trwałość niebezpiecznej aplikacji. Istnieją jednak różne błędy w kodzie złośliwego oprogramowania MacDownloader, które uniemożliwiają mu trwałe utrzymywanie się na zainfekowanej maszynie. Obecnie serwer C&C zagrożenia MacDownloadera jest w trybie offline. Oznacza to, że zagrożenie nie może w tej chwili spowodować obrażeń. Jednak złośliwe oprogramowanie MacDownloadera ma ogromny potencjał, aby wyrządzić wiele szkód jego celom i może wkrótce zostać zaktualizowane i uzbrojone.
