Разработчики MacDefender обошли ограничения безопасности Mac OS за 8 часов
Для обхода последнего обновления безопасности Mac OS разработчикам известного приложения MacDefender понадобилось всего восемь часов. Эксперт по безопасности Честер Вишневский (Chester Wisniewski) заявил, что способ установки MacDefender, а также его клонов, был обновлен, и теперь приложение без проблем устанавливается на систему, не запрашивая у пользователя пароль администратора.
Отметим, что разработчики MacDefender творчески подошли к вопросу - при посещении фишинговой страницы сначала, скачивается не само приложение, а лишь программа-загрузчик. Затем загрузчик инициирует скачивание и установку самого приложения MacDefender.
Злоумышленники могут вносить незначительное изменение в загрузчик, а также немного модифицировать само приложение и, таким образом, обходить актуальные средства защиты Mac OS.
«Если злоумышленники будут постоянно изменять загрузчик, XProtect не сможет его обнаруживать, и не будет сканировать скачиваемые данной программой файлы» - комментирует Вишневский. XProtect – это устаревший и зависимый от сигнатур сканер, неспособный справиться с актуальными угрозами.
Специалисты Apple очень быстро отреагировали на данную угрозу и обновили сигнатуры XProtect. Текущая версия загрузчика MacDefender обнаруживается и блокируется XProtect. Но это не мешает злоумышленникам немного модифицировать код загрузчика и вновь успешно обойти механизмы защиты ОС.
В США количество пользователей Mac OS достигло 15% от всех пользователей ПК. В свете событий последней недели сотрудники компании F-Secure утверждают в своем блоге, что Mac OS достиг необходимого уровня популярности и стал интересным для вирусописателей. Инцидент с приложением MacDefender, требующим от пользователя денег за устранение несуществующих угроз стоит рассматривать как первую ласточку.
По мнению специалистов F-Secure, уже в течение года могут появиться программы, способные закрыть пользователю доступ к его документам и другим важным данным, потребовав при этом денег за снятие блокировки.
www.securitylab.ru