Ataki na macOS: uwaga na złośliwe dodatki do Safari

Przeczytaj także: Trojan Shlayer gnębi użytkowników macOS

Nowa odsłona złośliwych reklam

Jak poinformował Sophos, w sieci pojawił się nowy rodzaj szkodliwego oprogramowania, który za cel obiera sobie systemy macOS Catalina. Jest to tzw. Bundlore, który odpowiada za blisko 7% wszystkich ataków na użytkowników urządzeń z jabłkiem.

Jego najnowsza wersja podszywa się pod instalator odtwarzacza wideo, m.in. Flash Playera, instalując przy tym cały szereg niepożądanych programów, w tym również złośliwe dodatki do przeglądarki Safari.

Po uruchomieniu pobranego pliku dodają „rekomendowane aplikacje” podczas domyślnej, natychmiastowej instalacji. Uzyskane w ten sposób rozszerzenia przeglądarki, takie jak MyCouponSmart czy AnySearch, zmieniają zawartość stron internetowych odwiedzanych przez użytkownika oraz stronę główną Safari na własną – searchmine[.]net. Przestępcy przekierowują w ten sposób zapytania z wyszukiwarki na podstawione strony, aby „nabijać” kliknięcia i czerpać zyski z reklam. Ponieważ zmieniają stronę z poziomu samej przeglądarki, użytkownik nie otrzymuje żadnych ostrzeżeń dotyczących bezpieczeństwa witryny.

Złośliwe rozszerzenia mogą zbierać informacje o aktywności w sieci, podstawiać reklamy na odwiedzanych stronach i przekierowywać wyniki wyszukiwania.

Wyścig z zabezpieczeniami

Wprowadzone przez Apple funkcje systemu macOS oraz przeglądarki Safari blokują tego typu programy, dlatego oszuści zaktualizowali swój sposób działania. Nieustannie usuwają i tworzą nowe konta deweloperskie, aby uniknąć umieszczenia przez Apple na czarnej liście, regularnie zmieniają też części kodu.

– Twórców złośliwego oprogramowania przyciąga przede wszystkim system Windows. System macOS i domyślnie zainstalowane w nim Safari są natomiast celem twórców fałszywych dodatków do przeglądarki. Tego typu potencjalnie niepożądane aplikacje należą do najczęstszych zagrożeń dla prywatności i bezpieczeństwa użytkowników popularnych Maków. Rozwiązania ochronne i mechanizmy bezpieczeństwa Apple blokują taką złośliwą aktywność, jednak przestępcy stale dopasowują swoje metody tak, aby je omijać. Dlatego użytkownicy powinni zachować szczególną ostrożność podczas pobierania oprogramowania z niesprawdzonych źródeł oraz zwracać uwagę na aplikacje, które próbują zainstalować jakiekolwiek rozszerzenia przeglądarki – wskazuje Łukasz Formas, kierownik zespołu inżynierów w firmie Sophos.