Маркетинговая фирма воюет с ИБ-компанией по поводу рекламного ПО OSX/Pirrit

Между ИБ-компанией Cybereason и израильской маркетинговой фирмой, предположительно стоящей за распространением рекламного ПО OSX/Pirrit, разгорелась настоящая война. С апреля 2016 года Cybereason отслеживает активность OSX/Pirrit и регулярно публикует отчеты, а рекламщики в свою очередь забрасывают компанию бесчисленными письмами с требованием прекратить обвинения.

В апреле 2016 года исследователь Cybereason Амит Серпер (Amit Serper) обнаружил новый вариант рекламного ПО Pirrit для macOS. Согласно отчету эксперта, ПО было портировано с Windows. Второй отчет Серпер опубликовал в июле того же года. Как сообщалось в публикации, разработчиком Pirrit является израильская маркетинговая фирма TargetingEdge. К такому выводу Серпер пришел на основании анализа исходного кода вредоноса.

В среду, 13 декабря, был опубликован третий отчет Серпера, описывающий изменения, внесенные в Pirrit со времени публикации предыдущего отчета. Как пояснил исследователь, для внедрения рекламы в трафик пользователей ПО использует не локальные серверы или вредоносные плагины для браузера, а язык AppleScript, предварительно обманным образом завладев паролями пользователей.

По данным Серпера, TargetingEdge получает пароли пользователей с помощью своего главного продукта – установщика для различных программ под macOS (видеоплееров, PDF-ридеров и пр.). В процессе инсталляции установщик запрашивает пароль суперпользователя, а затем с его помощью устанавливает на систему жертвы другие компоненты и запускает скрипты AppleScript со всеми необходимыми привилегиями.

TargetingEdge отрицает причастность к вредоносной кампании. По словам представителей фирмы, их установщик не является вредоносным ПО OSX/Pirrit. Cybereason намеренно порочит имя TargetingEdge и поднимает шумиху в прессе вокруг ее продукта в целях рекламы собственных услуг за рубежом, уверены в компании. Тем не менее, 28 антивирусных продуктов, доступных через VirusTotal, детектируют установщик TargetingEdge как Pirrit или рекламное ПО.

«Рекламное или вредоносное ПО, можно назвать как угодно. Суть остается одна – это код, который шпионит за вами и является настоящей головной болью при удалении», – отметил Серпер.

AppleScript – язык сценариев, созданный Apple и встроенный в macOS, начиная с System 7. AppleScript состоит из команд, которые могут быть использованы для управления операционной системой, обменом данными между приложениями, а также для программ автоматизации. AppleScript может выполнять простейшие вычисления и сложную обработку текста, также является расширяемым, что позволяет использовать дополнения для добавления новых функций к языку.