Вредонос для macOS распространялся через фальшивый блог Symantec

Symantec Proton хищение данных
Вредонос для macOS распространялся через фальшивый блог Symantec
Symantec Proton хищение данных

Преступники проэксплуатировали известный брэнд для распространения инфостилера Proton.

Злоумышленники не устают изобретать новые способы распространения вредоносного ПО, не вызывающие подозрения у пользователей. Эксперты компании Malwarebytes обнаружили кампанию, в рамках которой киберпреступники распространяют новую версию вредоноса Proton для macOS через поддельный блог Symantec. Symantecblog[.]com является отличной имитацией ресурса компании и даже содержит контент из оригинального блога, в частности, публикацию о свежей версии трояна CoinThief, предлагающую приложение Symantec Malware Detector, которое в действительности инфицирует компьютеры пользователей вредоносным ПО Proton.

Домен и адрес фальшивого ресурса выглядят как легитимные, однако электронный адрес вызывает подозрения. К тому же, сайт использует SSL-сертификат Comodo, вместо выданного удостоверяющим центром Symantec. Ссылки на блог распространяются как через «левые», так и легитимные аккаунты в Twitter. Как полагают эксперты, организатор компании мог получить доступ к учетным записям с помощью краденных логинов и паролей или обманом вынудить пользователей продвигать ссылки на поддельный ресурс.

При запуске Symantec Malware Detector демонстрирует простой интерфейс с логотипом Symantec и просьбой авторизоваться якобы для проверки системы. Если пользователь закроет окно на данном этапе, инфицирования не произойдет, в противном случае на его компьютер будет установлено вредоносное ПО. Оказавшись на системе, Proton приступает к сбору различных данных, в том числе паролей, персонально идентифицируемой информации, файлов .keychain, данных автозаполнения в браузере, содержимого менеджера 1Password и пр. Собранные сведения сохраняются в скрытой папке.

Специалисты проинформировали Apple о проблеме, и компания уже отозвала сертификат, используемый для цифровой подписи вредоносное программы. Данная мера предотвратит случаи инфицирования через Symantec Malware Detector в будущем, однако не поможет пользователям, чьи устройства уже были заражены Proton. После удаления вредоноса с компьютера эксперты рекомендуют пользователям сменить все учетные данные.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Новости по теме

Кибератака на Xerox: как это повлияет на бизнес и репутацию компании

Rust – новый язык киберпреступников: бэкдор SPICA скрывается в PDF-файлах

Халатность сотрудников Verizon едва не стоила жизни одному из абонентов компании

Пятитерабайтный шантаж: вымогатели «снесли» сайт тайваньского полупроводникового гиганта

COLDRIVER: кто стоит за крупнейшей кибератакой на почтовые сервисы?

Телекоммуникационный сектор Египта, Судана и Танзании пал под натиском хакеров MuddyWater

Atomic Stealer обновился: теперь инфовор для macOS стал ещё скрытнее и опаснее

Секретные данные правительства Швейцарии пострадали в результате кибератаки на фирму в Базеле

Вирус Alpha: новый игрок или старый вымогатель, восставший из пепла?