Rückblende Malware für Mac Änderungen Infektion Taktik

2014-01-08  |  Comebuy News

Eine neue Variante der Passwort-Diebstahl Flashback-Malware-abzielen, Apple-Computer entstanden, die versucht, sich selbst zu installieren, nachdem ein Benutzer eine infizierte Website besucht, entsprechend der neuen Forschung.

Comebuy Verwandte Artikel: Neuer Mac-Malware-Exploits, die Java Fehler, stiehlt PasswordsIntego sucht neue, hinterlistig Stamm von Mac Flashback Trojan HorseApple Mac-Benutzer-Logins von gejagt Flashback.G TrojanNew, gefährlicher Mac Defender Variante emerges2011 'ereignisreiches Jahr für Mac Malware'

Rückblende, entdeckt von Sicherheitsanbieter Intego im vergangenen September wurde entwickelt, um Kennwörter für Websites, einschließlich Finanzwebsites zu stehlen. Seit seiner Entstehung sind verschiedene Varianten erschienen, zeigen die Autoren Innovation.

Gewusst wie: überprüfen, ob Ihr Mac Flashback infiziert ist

Die erste Version von Flashback versucht, Benutzer dazu zu installieren es unter dem Deckmantel der Adobe Flash Player. Spätere Versionen geprüft, ob der betreffenden Apple-Computer eine nicht gepatchte Version von Java mit zwei Software-Schwachstellen hatte.

Wenn der Computer nicht gepatchten Java ausgeführt wurde, installiert Flashback automatisch sich. Wenn nicht, der Java-Angriff funktioniert, präsentierte Flashback dann sich als ein Apple-Update mit einem selbstsignierten Sicherheitszertifikat.

Die neueste "Flashback.N" Version von Intego entdeckt versucht, den Computer zu infizieren, nachdem eine Person eine infizierte Webseite besucht hat. Die Taktik wird oft als ein Drive-by-Download bezeichnet. Ein Großteil der Malware Drive-by-Download für Windows kann einen Computer ohne eine Aktion durch den Benutzer lediglich durch den Besuch der manipulierten Website infizieren.

Benutzer erhalten ein wenig mehr Warnung mit Flashback.N. Nach Kollision mit der infizierten Webseite, Flashback.N zeigt ein Dialogfeld "Software-Aktualisierung" die legitime Apple eine ähnlich und bittet um das Kennwort eines Benutzers.

Auf seinem Blog beschrieben Intego das Installationsverfahren als "etwas ungerade ist," wie die Website, die hat manipuliert worden, um die Malware einzuschleusen, zeigt Apples mehrfarbige drehendes Rad für eine Weile, bevor das Dialogfeld wird angezeigt. Rückblende dann injiziert sich in den Safari-Browser und beginnt schnüffeln Datenverkehr für Kennwörter.

Anfang dieser Woche fand Intego, dass Flashback Twitter als Kommando-und Kontroll-Mechanismus verwendet wurde. Andere Botnetze haben auch Twitter verwendet, um Befehle oder Anweisungen auf neue Befehle zu senden.

Rückblende fragt Twitter Hashtag 12-stellige komponiert von scheinbar zufälligen Zeichen nach einem Intego-Blog-Eintrag. Die Saiten sind tatsächlich mit 128-Bit-RC4-Verschlüsselung generiert und bestehen aus vier Zeichen für den Tag, vier für den Monat und vier für das Jahr.

Senden Sie News Tipps und Kommentare an jeremy_kirk@idg.com

« Back