MacDownloader
MacDownloader-skadlig programvara är ett mycket skadligt och potent hot som kan orsaka mycket förödelse om det lyckas kompromissa med ett system framgångsrikt. MacDownloader-hotet riktar sig till system som kör Apples OSX, vilket kan framgå av dess namn. Det verkar som om författarna till MacDownloader-skadliga program sprider det genom att dölja detta hot som en Adobe Flash Player-uppdatering. Detta ganska avancerade hot är troligen skapandet av en iransk APT (Advanced Persistent Threat). Denna APT tenderar främst att följa högprofilerade mål, så vanliga användare kommer sannolikt inte att påverkas av MacDownloader-skadlig programvara. Enligt rapporter har skadlig programvara från MacDownloader hittills använts mot amerikanska försvarsentreprenörer som Lockheed Martin, Raytheon och Boeing.
Hur MacDownloader Threat fungerar
Författarna till MacDownloader-skadlig programvara verkar sprida hotet via e-postkampanjer. E-postens mål är att övertyga målet om att besöka en webbplats som erbjuder utbildningsprogram och kurser som är skräddarsydda för den avsedda personen. Men om målen försöker visa något av innehållet som är värd på den falska sidan kommer webbplatsen att be dem att ladda ner och installera en uppdatering av Adobe Flash Player-applikationen. Detta är ett vanligt trick som används av författare av skadlig programvara för att sprida sina skapelser. Om målet faller för detta trick och installerar den falska uppdateringen av Adobe Flash Player, kommer MacDownloader-hotet att visa en bedräglig framstegsfält för installationen och sedan visa ett meddelande, som hävdar att det finns adware i användarens system. Detta borde säkert höja en röd flagga, eftersom Adobe Flash Player inte är tänkt att ha några moduler som har något att göra med cybersäkerhet. Den falska varningen anger också att adware som förmodligen detekterades kommer att tas bort från systemet. Därefter kommer MacDownloader-skadeprogrammet att begära att användarna fyller i sina inloggningsuppgifter om de vill börja adware-borttagningsprocessen. Legitima anti-malware-verktyg begär inte att du fyller i ditt användarnamn och lösenord, och sådana udda förfrågningar bör definitivt ses som en röd flagga av användare. MacDownloader-hotet får inte uthållighet på den komprometterade värden, vilket innebär att när användaren stänger det kommer hotet inte att köras igen. Så länge målen inte har fyllt i sina inloggningsuppgifter innan de stänger ansökan, bör det inte finnas några problem. Men om användaren har försett MacDownloader-skadlig kod med sitt användarnamn och lösenord, kommer hotet att se till att lagra informationen i en fil som heter 'applist.txt', som kommer att överföras till C&C (Command & Control) -servern på angripare.
Som vi nämnde får MacDownloader-hotet inte uthållighet, men detta är inte av design eftersom dess skapare försökte ge den osäkra applikationen uthållighet. Det finns emellertid olika fel i MacDownloader-skadlig kodskod som hindrar den från att få uthållighet på den infiltrerade maskinen framgångsrikt. För närvarande är C & C-servern för MacDownloader-hotet offline. Detta innebär att hotet inte kan orsaka skada för tillfället. MacDownloader-skadlig kod har dock en stor potential att orsaka mycket skada på sina mål och kan snart uppdateras och vapenas ytterligare.
