Зловмисники не втомлюються вигадувати нові способи поширення шкідливого ПЗ, що не викликають підозри у користувачів.

Експерти компанії Symantec виявили кампанію, в рамках якої кіберзлочинці поширюють нову версію вредоноса Proton для macOS через підроблений блог Symantec. Symantecblog[.]com є відмінною імітацією ресурсу компанії і навіть містить контент з оригінального блогу, зокрема, публікацію про свіжої версії трояна CoinThief, що пропонує програма Symantec Malware Detector, яке в дійсності заражає комп’ютери користувачів шкідливим ПЗ Proton.

Домен та адресу фальшивого ресурсу виглядають як легітимні, однак електронну адресу викликає підозри. До того ж, сайт використовує SSL-сертифікат Comodo, замість виданого центром Symantec. Посилання на блог поширюються як через «ліві», так і легітимні акаунти в Twitter. Як вважають експерти, організатор компанії міг отримати доступ до облікових записів за допомогою крадених логінів і паролів або обманом змусити користувачів просувати посилання на підроблений ресурс.

При запуску Symantec Malware Detector демонструє простий інтерфейс з логотипом Symantec і проханням авторизуватися нібито для перевірки системи. Якщо користувач закриє вікно на даному етапі, інфікування не відбудеться, в іншому випадку, на його комп’ютер буде встановлене шкідливе ПО. Опинившись на системі, Proton приступає до збору різних даних, в тому числі паролів, персонально ідентифікованої інформації, файлів .keychain даних автозаповнення в браузері, вмісту менеджера 1Password та ін. Зібрані відомості зберігаються у прихованій папці.

Фахівці поінформували Apple про проблеми, і компанія вже відкликала сертифікат, що використовується для цифрового підпису шкідливі програми. Дана міра допоможе запобігти випадки інфікування через Symantec Malware Detector в майбутньому, проте не допоможе користувачам, чиї пристрої вже були заражені Proton. Після видалення вредоноса з комп’ютера експерти рекомендують користувачам змінити всі облікові дані.

Джерело: securitylab.ru