Mughthesec,劫持受害者的​​签名MAC广告软件’s browser for profit

专家发现了一个新的签名Mac广告软件被称为劫持受害者’用于利润的浏览器,只能重新安装OS。

根据Synack研究总监Patrick Wellle的据称,新的Mac广告软件威胁Mac用户,一旦感染了一台机器即可重新安装麦斯科斯。

研究人员和Mac专家托马斯里德,推测新的Mac广告软件Dubbed Mughthesec是着名的Operatormac家族的改进版本。

其他恶意软件专家索赔威胁至少持续六个月,但是免疫托管的检出率仍然很低。

Mac Malware在几个月内得到了改进,实现了新功能,例如基于MAC地址的抗VM检测系统和Mughthesec的组件与合法的Apple开发人员证书签名,允许它绕过 门卫保护 通常可以防止安装无符号应用程序。

“用简言之框,我认为这个问题不是在这里的任何事情都是令人难以置信的新或令人兴奋;更多的是,现有的安全/缓解策略是悲惨的不可误解的,“沃尔卫威说道。 “所以我们有旨在阻止来自互联网的无符号代码的网守,以防止用户欺骗安装恶意软件(例如假闪存更新器)......那是一个好主意。但现在大多数MAC广告软件/恶意软件刚刚使用CERTS签名。所以守门人基本上是一个实际点。正常日常用户仍然会感染自己......以及旨在保护它们的东西; Gatekeeper / AV蚀刻,真的没有提供任何帮助。“

该广告软件目前作为一个名为Player.dmg的文件,该文件安装了Mac的Adobe Flash Player的合法版本,也是一个名为Advanced Mac Cleaner的不需要的应用程序,以及名为Safe Finder和Booking.com的两个Safari扩展。

“幼崽在我看来,相当阴暗。我的意思是他们自动安装浏览器插件,避免苹果在Safari的安全机制,“Waterle说。 “如此确定,他们要求在安装期间安装用户权限,但是,然后做一般用户可能不想要的事情。这是合法代码和恶意软件之间的灰色区域。”

Patrick Wardle认为恶意软件通过恶意广告或通过阴暗网站上的恶意广告和弹出窗口传播。“无论哪种方式,可能需要用户交互[下载和安装],” says Wardle.

帕特里克·斯德尔(Patrick Watchle)描述了以下声明的威胁 发布在目标看博客上。

 

“What is Mughthesec?”答案;可能是一种新的变体‘Safefinder / Operatormac.’ adware. 是的 it’S相当不已的MacOS恶意软件,但 it’s 安装程序已签名(至‘bypass’网守)并且在此分析时,未检测到抗病毒发动机….and 苹果电脑 用户被感染 -  
谈到感染,因为安装人员伪装成Flash Player安装程序’这款广告软件可能依靠常见的感染技巧来获得新的受害者。如果我不得不猜测其感染矢量可能是下列的一个(或全部?):

  • 伪造的 弹出窗口 on ‘shady’ websites
  • 恶意广告,也许是合法的网站。

无论哪种方式,可能需要用户交互。“

恶意软件,一旦安装,劫持受害者’浏览器获取利润。

“普通的广告策略是劫持受害者的​​浏览器(主页,注射广告等)进行财务收益,”Waterle说。 “Mughthesec(当用户”同意“安装'安全查找器')时,似乎符合目标。”

“如果我们开放野生动物园;事实上,主页一直被劫持 - 虽然以看似无害的方式,“沃德说,补充说他没有在谷歌的Chrome浏览器上测试样本。 “它只是显示了一个相当”干净“的搜索页面 - 尽管看了来源,我们可以看到包含多个脚本的安全查找器的脚本。”

Watchle突出显示受感染主机上的广告软件丢弃的其他文件允许恶意软件运算符放弃其他恶意有效载荷。

Mughthesec感染的存在必须警告Mac用户,这将永远不会知道其他恶意软件是否已经通过骗子以及广告软件安装了其他恶意软件,因此,他们应该重新安装他们的Mac。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请