В прошлом году мы рассказали о троянской программе для Mac под названием «Flashback», которая маскировалась под установщик Flash Player. Хотя Apple предприняла шаги для защиты пользователей от угрозы с помощью своей системы File Quarantine, которая позволяет компьютерам пользователей ежедневно проверять наличие обновленных определений вредоносных программ, авторы вредоносного ПО продолжают дорабатывать троян, чтобы улучшить его способность как заражать системы, так и избегать обнаружения.

Фирма безопасности Intego опубликовала отчет о новом варианте трояна, известном как Flashback.G, который применяет многостороннюю стратегию в атаке на системы пользователей. Первые два метода используют уязвимости в Java, и хотя уязвимости исправлены в системах, работающих на последних версиях Java, устаревшие системы могут быть незаметно заражены через эти дыры в безопасности.

Самоподписанный сертификат Flashback.G, призванный обмануть пользователей, чтобы они разрешили установку

В обновленных системах, не имеющих уязвимостей Java, Flashback.G представляет самоподписанный сертификат, выданный якобы от Apple, пытаясь обмануть пользователей, чтобы те разрешили установку трояна на свои системы. После установки троян начинает поиск имен пользователей и паролей, которые он может передать авторам вредоносного ПО.

Это вредоносное ПО исправляет веб-браузеры и сетевые приложения, в основном для поиска имен пользователей и паролей. Оно ищет ряд доменов — веб-сайты, такие как Google, Yahoo!, CNN; банковские сайты; PayPal; и многие другие. Предположительно, люди, стоящие за этим вредоносным ПО, ищут как имена пользователей и пароли, которые они могут немедленно использовать — например, для банковского сайта — так и те, которые могут повторно использоваться на разных сайтах.

Примечательно, что Intego сообщает, что троян прерывает собственную установку, если обнаруживает наличие нескольких антивирусных приложений на Mac пользователя, предположительно стремясь остаться незамеченным, фокусируясь на уязвимых системах.

Intego рекомендует пользователям Mac OS X Snow Leopard убедиться, что Java полностью обновлена, выполнив проверку через Обновление программного обеспечения, а всем пользователям следует знать о социальной инженерии, которую использует троян, пытаясь получить разрешение на установку. Компания, конечно же, также рекомендует пользователям оснастить свои системы антивирусным программным обеспечением.

Хотя вредоносное ПО пока не представляло значительной угрозы для пользователей Mac, его присутствие растет. Apple активизировала свои усилия по борьбе с вредоносным ПО, улучшив свою систему File Quarantine для ежедневных проверок определений. OS X Mountain Lion увидит еще один значительный шаг с введением Gatekeeper — системы, с помощью которой пользователи могут ограничить установку приложений из таких источников, как Mac App Store, и от разработчиков, зарегистрированных в Apple как «идентифицированные разработчики».

Программа Apple Developer-ID будет использовать цифровые подписи для приложений, чтобы связать их с конкретным разработчиком. Если разработчик впоследствии окажется распространяющим вредоносное ПО или ведущим себя иным образом некорректно, установки его существующих приложений могут быть деактивированы Gatekeeper. Однако у Gatekeeper есть свои ограничения, поскольку он сканирует только приложения, загруженные через несколько механизмов, таких как браузеры, и не может обнаруживать приложения, которые изменяются вредоносным ПО после их первоначального запуска.