Symantec Blog palsu mengedarkan macOS Proton

Computer Security News

Blog palsu Syarikat sah Keselamatan Symantec menyebarkan versi baru dari Proton malware menyasarkan macOS.

Pemaju Proton perisian berniat jahat yang dicipta symantecblog [dot] com yang baik tiruan blog Symantec sebenar dan juga mencerminkan kandungan dari laman web asal.

Ia kelihatan seperti blog palsu menggalakkan permohonan dinamakan “Symantec Malware pengesan” melalui posting tentang versi baru dari CoinThief, Walau bagaimanapun, ia sebenarnya mengedarkan OSX. PROTON.

Ternyata bahawa dalam maklumat pendaftaran domain yang sah dan menempa nama dan alamat yang sama seperti orang-orang yang menggunakan Symantec, Walau bagaimanapun, alamat e-mel yang menunjukkan sesuatu yang salah. Di samping itu, sijil yang digunakan untuk laman web adalah sijil SSL yang sah dikeluarkan oleh Comodo dan bukan oleh autoriti sijil di Symantec.

Pakar Keselamatan melaporkan bahawa akaun palsu dan sah telah menyebarkan link ke blog palsu di Twitter, dan hacker di sebalik kempen ini mungkin telah menggunakan kata laluan dicuri untuk mengakses akaun-akaun yang sah untuk mempromosikan perisian berniat jahat itu.

Sedang aktif buat pertama kalinya, aplikasi pengesan Malware Symantec menunjukkan tetingkap yang sangat mudah, menggunakan logo Symantec, mendakwa memerlukan kebenaran untuk melaksanakan sistem pemeriksaan. Menurut para penyelidik, jika pengguna menutup tetingkap pada ketika ini, Proton malware tidak boleh dipasang ke dalam sistem.

Dalam kes mangsa bakal bersetuju untuk menjalankan cek, laluan admin diminta dan perisian berniat jahat yang mencuri kata laluan pengguna. Selepas itu, permohonan itu menunjukkan kemajuan bar mendakwa akan mengimbas komputer, Walau bagaimanapun, Proton malware dipasang sebaliknya.

Sebagai pengesan Malware Symantec permohonan adalah tidak lebih daripada penitis malware, semua pengguna yang telah dimuat turun ia dinasihatkan untuk menghapuskannya dan cuba untuk membersihkan komputer mereka sekaligus.

Sedang dipasang ke dalam sistem, Proton dengan serta-merta bermula mengumpul maklumat pengguna, seperti kata laluan Pentadbir dan lain-lain maklumat sensitif (Institut), dan menyimpan semua data ke fail tersembunyi. Rantai kunci fail, pelayar mengisi data, ruang simpan 1Password dan kata laluan GPG juga dicuri.

Laksana Proton dilepaskan dalam direktori .random dan dikekalkan berjalan oleh agen pelancaran com.apple.xpcd.plist. Maklumat yang dicuri disimpan dalam .cachedir folder.

“Mujurlah, Apple sedar tentang perisian berniat jahat ini dan telah ditarik balik sijil yang digunakan untuk menandatangani perisian berniat jahat itu. Ini dapat mengelakkan jangkitan pada masa hadapan oleh Symantec pengesan perisian berniat jahat. Membatalkan Sijil ini, dengan sendirinya, tidak akan apa-apa untuk melindungi mesin yang sudah dijangkiti,” pakar-pakar keselamatan negara.

Proton malware telah dicipta untuk mencuri rahsia login dan pengguna yang terlibat dinasihatkan untuk mengambil tindakan kecemasan selepas jangkitan. Mereka perlu mempertimbangkan semua kata laluan dalam talian mereka yang terjejas dan menukar mereka, sementara sediakan kata laluan yang berbeza untuk setiap tapak dan menyimpan mereka semua dalam Pengurus kata laluan.

Di samping itu, tiada kata laluan induk hendaklah disimpan di dalam rantai kunci atau mana-mana sahaja pada PC dan membolehkan pengesahan dua faktor perlu meminimumkan kesan.


Leave a Reply

Your email address will not be published. Required fields are marked *