Mac OS X už nie je bezpečný: začala sa epidermálna šupka / malware

2024 Autor: Geoffrey Carr | [email protected]. Naposledy zmenené: 2023-12-17 10:59

Používatelia operačného systému OS X chcú robiť zábavy používateľov systému Windows ako jediní, ktorí majú problém s malware. Ale to už jednoducho nie je pravda a problém sa v posledných mesiacoch dramaticky zvýšil. Pridajte sa k nám, keď odhaľujeme pravdu o tom, čo sa naozaj deje a dúfajme, že varujeme ľudí pred blížiacou sa záhubou.

Keďže je to vlastne Unix pod kapotou, OS X má nejakú natívnu ochranu pred najhoršími typmi vírusov. Ale problémom v týchto dňoch nie sú vírusy, ktoré úplne poškodzujú váš počítač, je to spyware, crapware a adware, ktoré sa vkradnú do vášho počítača, zabijú Váš prehliadač, vkladajú reklamy a sledujú to, na čo sa pozeráte. A veľa z toho je legálne, pretože vás počas inštalátora podľahne kliknutiu na nesprávnu vec.

A teraz sťahujú stránky, falošné reklamy na softvér vo vyhľadávacích nástrojoch a nápadité aplikácie spájajú adware a crapware s inštalátormi pre legitímny softvér. Nemôžete len predpokladať, že ste už v bezpečí, pretože ste na operačnom systéme OS X. Musíte byť opatrní, čo stiahnete a čo kliknete.

Ak si nemyslíte, že je to veľký problém, premýšľajte znova. Tieto kúsky adwaru sa vkladajú priamo do prehliadača a analyzujú a bežia aj na zabezpečených miestach, ako je vaša banka, stránky kreditných kariet a e-mail a odosielajú dáta na svoje servery. Nepoužívajú útočník HTTPS úplne z toho, čo môžeme povedať počas nášho výskumu, ale je to len otázka času a možno už to robia a zatiaľ sme nenašli dôkaz.

Keďže sme sami predovšetkým používatelia Macu na stránke How-To Geek, naozaj dúfame, že s týmto problémom spoločnosť Apple použije inú taktiku, ako má spoločnosť Microsoft so systémom Windows a neumožňuje týmto podvodným umelcom zničiť ich platformu.

Dodávaný Crapware pre OS X je stále horšie každý deň

Nie je to tak dávno, že by ste mohli nainštalovať takmer čokoľvek pre OS X z takmer každej webovej stránky a vy ste sa naozaj nemuseli starať o to, na čo ste klikli. To už jednoducho nie je pravda, a zatiaľ čo veci sú lepšie ako na Windows, je to len otázka času v tomto bode.

Stále máte bezpečný zdroj pre softvér s Mac App Store, ale problémom je, že nie všetci predajcovia predávajú svoj softvér cez App Store a mnohí z nich predávajú staršie verzie tam a majú najnovšiu verziu na svojich vlastných webových stránkach. Ak sa budete držať App Store, nemáte sa čoho obávať. Radi by sme mohli vidieť, ako Apple opraví niektoré problémy v aplikácii App Store a aby ho všetci používali.

Rovnako ako v systéme Windows, nemusíte sa pozerať ďalej ako sú súbory na prevzatie CNET, aby ste našli balík crapware … aj pre Mac. Správne, s týmto nezmyselom prešli cez platformu. A oni to zhoršili, pretože máte buď tlačidlo Inštalovať, alebo tlačidlo Zavrieť. Už nie je ani pokles! Po kliknutí na tlačidlo Zavrieť sa inštalátor úplne vypne. Takže buď máte balík crapware, ktorý zablokuje váš prehliadač, alebo nemusíte nainštalovať túto aplikáciu.

Ten na snímke nainštaluje aplikáciu Spigot a veľa ďalších nezmyslov, ktoré presmerujú váš prehliadač na Yahoo, nainštalujú veľa nežiaducich zásuvných modulov a vo všeobecnosti robia lietajúci špagetový monštrum. Je úžasné, koľko peňazí sa Yahoo musí v týchto veciach potopiť, aby zablokovali váš prehliadač do svojho vyhľadávacieho nástroja … keď to ani nie je ich. Yahoo Search je naozaj len rebranded verzia Bing. Dobre.

Ó môj! Na ďalšej obrazovke vám inštalátor nakoniec umožní odmietnuť niečo znova! Možno, že vec na snímke je taká zlá, že aj CNET Downloads nechce na vás nútiť. Nie je to dobré znamenie.

Samozrejme, nie je to len pre CNET Downloads, ktoré robia zväzok - našli sme niekoľko ďalších aplikácií, ktoré sú distribuované na webových stránkach s bezplatným downloadom, ktoré robia svoje vlastné viazanie. Napríklad YTD, ktorý načíta adware HTTPS-hijacking pre systém Windows, má verziu systému Mac. A oni sú tiež zviazaný Spigot. Chcete niečo torrent? Prečo nejdete stiahnuť uTorrent z ich webových stránok? Zdá sa, že to ľudia radi používajú. Ohhh.

Problém sa dostane oveľa horšie, keď sa pokúsite vyhľadať freeware pomocou svojho obľúbeného vyhľadávacieho nástroja. Stojí za zmienku, že spoločnosť Google nedávno začala pokúšať sa zakázať balík crapware z ich výsledkov a reklám, ale Yahoo a Bing bohužiaľ nemajú rovnakú úžasnú úroveň. V skutočnosti sú len strašné.

Ak ste priemerný, bežný používateľ a hľadáte Yahoo pre "vlc download", dostanete niečo, čo vyzerá ako ďalšia obrazovka. A každá vec na stránke je v skutočnosti odkazom na balík inštalátorov balíčkov pre VLC a takmer všetci sú cez platformu a pracujú na OS X. A text, ktorý hovorí "ad", je takmer neviditeľný.

Keď sa nič netušiaci používateľ pokúsi použiť jeden z týchto inštalátorov, zobrazí sa obrazovka podobná tejto … ktorá inštaluje hrozivosť programu InstallMac, ktorá všetko zabije a umiestni adware do vášho systému - je to hrozné. A samozrejme, ďalšia obrazovka sa pokúša nainštalovať niečo iné, ktoré nepotrebujete. A potom niečo iné. Je to toľko crapware.

Nájdili sme oveľa viac softvéru, ktorý sa doručuje týmto spôsobom, s tonou inštalatérov z takmer každej dodávky crapware inštalatérskej spoločnosti. Tu je inštalačný balík pre OpenOffice, ktorý je dodávaný s veľmi mizerným kusom adware, ktorý preberá váš prehliadač. Áno, hľadali sme opäť službu Yahoo pre OpenOffice a klikli sme na to, čo sme vlastne považovali za skutočnú stránku, pretože ich text "ad" bol taký malý, že sme to nedokázali rozoznať. A to je to, čo prišlo.

Už sa stane epidémiou pre používateľov počítačov Mac. Na čo sa teda musíme tešiť?

Adware a škodlivý softvér na operačnom systéme OS X je takmer taký ohavný ako v systéme Windows

Ak sa vám podarí niečo infikovať, väčšina adware, malware a spyware na operačnom systéme OS X sa bude pokúšať nejako infikovať váš prehliadač, únosom vašich stránok Nová karta, vyhľadávanie a domovské stránky, vkladanie reklám na stránky a náhodne vyskytnúť nepríjemné upozornenia technickej podpory. Väčšina z vás netrhá na vašom pevnom disku alebo na ničom strašnom … ale na základe rastúcej sofistikovanosti, ktorú vidíme, je to len otázka času.

Mnohí z týchto útočníkov v prehliadači vložia reklamy, ktoré zobrazujú správy, ktoré nemožno odmietnuť bez ohľadu na to, čo robíte, ako vidíte na snímke obrazovky vyššie. A oni sa budú náhodne zobrazovať po celú dobu, zatiaľ čo ste prehliadanie, a musíte CMD + Q úplne zavrieť app, aby sa ich zbavil. V podstate je váš prehliadač úplne zbytočný.

Najjednoduchší adware sa nainštaluje do vášho prehliadača ako rozšírenie a vynuluje všetky vaše stránky a prejde ich strašným, strašným vyhľadávačom. A tým väčšinou myslíme Yahoo … ale existuje veľa ďalších, ako je searchmoose, search-quick a searchbenny, ktoré používajú svoje vlastné falošné vyhľadávače. Niekoľko z nich vás presmeruje na Bing, ale nikdy priamo. Je to vždy prostredníctvom sprostredkovateľa, ako je Trovi.

Väčšina reklám, ktoré dostanú injekciu, sa bude snažiť oklamať inštaláciou ďalších reklám pomocou falošných správ Java plug-in alebo správ, ktoré vám povedia, že chcete nainštalovať kodek alebo novú verziu Flash. To všetko je falošné, samozrejme, a nainštaluje ešte viac crapware a malware na vašom počítači. Z času na čas sa jeden z nich pokúsi vyslúžiť časť adware systému Windows, ale väčšinou sú dosť chytí, aby vedeli, že ste používateľom Macu a slúžil si vhodný kúsok crapware.

Mnoho adware bude presmerovať váš vyhľadávací nástroj na falošný vyhľadávací nástroj, ktorý vyzerá veľa ako Google alebo Bing, ale všetky výsledky sú len reklamy.

A potom náhodne začne hovoriť s vami. Doslovne. Prehráva zvukové reklamy prostredníctvom reproduktorov. Počuli sme reklamu pre Northrup Grumman. Ako je to blázon? (Sme si istí, že o tom nevedia.)

Práve sme ukázali niektoré z nepríjemných adware, ale väčšina z balíčkov crapware je tiež dosť mizerná vec a takmer každý jednotlivý balíček crapware, ktorý sme našli, a takmer každý reklamný adware sa snažil dostať nás na inštaláciu MacKeeper. O tom nevieme moc, hoci plánujeme zistiť, ako to funguje, pretože tieto taktiky sú sporné.

Najväčší trend, ktorý sme zaznamenali v adware, je, že takmer všetci sa pokúšajú presmerovať váš prehliadač a vyhľadávač do Yahoo. Niekto tam v spoločnosti Yahoo potrebuje vystreliť.

Kopanie hlbšie: Ako niektoré z tohto malware skutočne funguje

Jednoduchý adware funguje tak, ako sa väčšina adware robí, tým, že sa inštaluje do rozšírení programu Safari, čo sa dá ľahko odinštalovať. Problém je v tom, že v našom výskume pracovalo iba niekoľko adware.

Všetky únosy z vyhľadávacích nástrojov, presmerovanie domovskej stránky a rozšírenia s injekčnými reklamami sú jedna vec. Najväčším problémom je závažný malware, ktorý sa inštaluje hlboko do operačného systému a priemerná osoba by ho nikdy nemohla odstrániť. Neexistuje žiadny odinštalátor, nie je žiadna položka Startup, v prehliadači nie sú žiadne doplnky, rozšírenia alebo čokoľvek iné, ktoré sa zdá byť nainštalované.

Aké sú však skutočne hrozné reklamy, ktoré sú injektované do všetkého, čo robíte, čím je váš počítač pomalší ako špina. Váš vyhľadávací nástroj bude unesený a je možné, že váš prehliadač bude smerovaný prostredníctvom proxy servera. Je to úplne škodlivý softvér, nie je to len adware, aj keď ste náhodou zabudli zrušiť začiarknutie políčka niekde. Funguje to rovnakým spôsobom ako malware Trovi v systéme Windows, a to tak, že sa vstrekne do procesov.

Tieto závažnejšie kúsky škodlivého softvéru sa inštalujú ako démon alebo služba, ktorá beží na pozadí a v zákulisí. Tieto veci môžete nájsť v priečinku / Library / LaunchAgents alebo / Library / LaunchDaemons, ktorý bude obsahovať niektoré skutočne zvláštne vyzerajúce položky, ktoré jednoducho nepatria. Tento priečinok by mohol byť použitý aj pre skutočné veci z reálnych aplikácií, takže nejde úplne vyčistiť tento priečinok alebo čokoľvek iného.

Skúmanie súboru plist vám ukáže, kde sa nachádza skutočný škodlivý softvér, ktorý je zvyčajne v úplne samostatnom priečinku.

Keď sa chystáte do tejto zložky a preskúmať súbor Version.plist, získate viac informácií o tom, čo sa deje. Táto vec sa nazýva Search-Quick a z nejakého dôvodu podporuje zablokovanie prehliadača Chrome a Safari, ako aj nočné vytváranie Webkitu.

Skúmanie ďalej prichádza s niečím zvedavým … ten, kto napísal tento malware, chcel poďakovať svojej mame.

Akonáhle je škodlivý softvér spustený systémom OS X ako démon, používa v operačnom systéme OS X trochu známu funkčnosť, ktorá umožňuje, aby sa jeden proces vniesol do iného procesu.Môžete vidieť, ako to funguje, otvorením terminálu a spustením spustiteľného agenta priamo. Čo sa vlastne deje, je to, že sa pripojí k vášmu webovému prehliadaču a načíta sa ako skryté rozšírenie. Na obrazovke nižšie vidíte, že bola aktivovaná pre proces ID 544, čo bol Google Chrome. Bude to isté pre Safari, ak bude otvorené.

To znamená, že je spustený adware alebo malware vnútri vášho webového prehliadača a vstreknete sa do každej stránky, ktorú navštívite. Nezáleží na tom, či ste navštívili bezpečný bankový portál, alebo nie, už sú vo vnútri. Jedným z vedľajších účinkov tohto škodlivého softvéru je, že váš celý počítač bude extrémne pomalý, po celý čas bez ohľadu na to, čo robíte.

Niekoľko tipov na odstránenie adware a škodlivého softvéru v systéme OS X si môžete prečítať dokument o podpore spoločnosti Apple alebo stačí počkať na ďalšie články o tejto téme. Budeme robiť oveľa viac výskumu o všetkých týchto veciach.

Takže čo to všetko znamená a ako sa chrániť?

Napriek tomu, že sme ukázali, že malware, adware, crapware a spyware sa na OS X čoraz viac zhoršujú, neznamená to, že sa nevyhnutne budete musieť starať o Linux alebo robiť niečo drastické. Systém OS X stále nie je zameraný rovnako ako systém Windows a stále existujú určité bezpečnostné opatrenia, ktoré sťažujú prenikanie škodlivého softvéru.

Najbezpečnejšou vecou, ktorú môžete urobiť, je použitie aplikácie Mac App Store na inštaláciu aplikácií vždy, keď je to možné. Tieto aplikácie boli overené spoločnosťou Apple a mali by byť v poriadku, a určite nebudú prichádzať s akýmkoľvek balíčkom crapware alebo adware.

Obmedziť aplikácie, ktoré nie sú z App Store

To problém úplne nevyrieši, ale môžete nakonfigurovať OS X tak, aby automaticky obmedzoval všetky spustiteľné súbory, ktoré nepochádzajú z App Store. Toto sa nevzťahuje na aplikácie, ktoré sú už nainštalované v počítači, bez ohľadu na to, odkiaľ pochádzajú. Bude sa jednoducho vzťahovať na nové sťahovanie.

Prejdite na Predvoľby systému -> Zabezpečenie a ochrana osobných údajov, kliknite na ikonu uzamknutia v spodnej časti a potom nastavenie presuňte na Mac App Store namiesto predvoleného nastavenia.

Keď to urobíte, pokúsite sa spustiť všetko, čo nie je v App Store, automaticky sa zobrazí bloková správa. Ak kliknete pravým tlačidlom a vyberiete možnosť Otvoriť a potom znova zvoliť Otvoriť, môžete ho stále otvoriť, ale štandardne je všetko zablokované.

To nerieši problém aplikácií, ktoré ste vyrobiťchcete inštalovať s balíkom crapware, ktorý vyžaduje predvolené vyradenie. Ale je to skvelé nastavenie bezpečnosti pre vašich príbuzných.

Keď potrebujete inštalovať aplikáciu od iného miesta, uistite sa, že je to naozaj dôveryhodný zdroj a nie falošná webová lokalita, ktorá slúži ako open source freeware s balíkmi balíkov.

Takisto by ste mali zvážiť vypnutie pluginov prehliadača - pre Chrome a Firefox, to je veľmi jednoduché, pre Safari je to trochu komplikovanejšie. Najväčšou vecou, ktorú môžete urobiť, je zakázať váš Java plug-in, pretože je to zriedkavé, že to potrebujete, a pretože Java bol zodpovedný za 91% útokov v roku 2013. Tým sa zníži vaša pravdepodobnosť, že budete cielené útokom s nulovým dňom.

Môže to byť čas začať uvažovať o antivírus pre OS X, prinajmenšom ak chcete nainštalovať veľa softvéru zo zdrojov mimo aplikácie App Store. Ak tomu tak nie je, pravdepodobne nie je taká veľká dohoda, ale blížime sa k bodu, kedy bude potrebná. To, čo ešte stále nie je isté, je to, čo antivírus pre Mac je dokonca užitočný a blokuje tento typ vecí - v systéme Windows väčšina antivírusov neblokuje vôbec balík crapware a adware, pretože sú legálne, pretože ste museli súhlasiť počas inštalačný proces. Takže nie len plaťte za antivírus práve teraz. Majte to na pamäti pre budúcnosť.

Okrem toho stačí dávať pozor na to, na čo kliknete, a nedôverujete chybovým hláseniam, ktoré sa objavia v okne vášho webového prehliadača. Ak uvidíte niečo, čo hovorí, že váš počítač je napadnutý a objaví správu, podržte klávesovú kombináciu CMD + Q, aby ste ihneď zatvorili všetko.

Pre používateľov systému Windows nie je lepší čas prejsť na systém Mac. S týmito veľa crapware a adware sa vyvíjajú, budú cítiť ako doma! (Samozrejme, že sme žartovali).