สัปดาห์ที่แล้ว ฉันได้แสดงให้คุณเห็นว่าผู้เขียนมัลแวร์กำหนดเป้าหมายไปที่ Google Chrome อย่างไร ขณะนี้มีหลักฐานว่าเป้าหมายต่อไปคือ Apple ตามที่บริษัทรักษาความปลอดภัยด้านไอทีของเดนมาร์ก ระบุว่ากลุ่มใต้ดินได้เสร็จสิ้นการทำงานกับชุดปฏิบัติการเต็มรูปแบบที่ออกแบบมาเพื่อสร้างมัลแวร์ที่มุ่งเป้าไปที่ Mac โดยเฉพาะ และชิ้นส่วนทั้งหมดก็พร้อมสำหรับการโจมตีที่รุนแรง ฉันได้รายละเอียดแล้ว
ยินดีต้อนรับผู้มาเยือน Daring Fireball! คุณควรอ่านโพสต์ติดตามผลที่ยาวและมีรายละเอียดมากขึ้นที่นี่: เหตุใดมัลแวร์ Mac จึงกำลังมาถึง.
การติดตามผล: ความพยายามของมัลแวร์ที่ใช้วิศวกรรมสังคมที่เน้นไปที่ Apple อยู่ในภาวะปกติแล้ว ฉันเพิ่งพบอันหนึ่งจากการค้นหารูปภาพของ Google ดูด้วยตัวคุณเอง: การโจมตีมัลแวร์ Mac มีลักษณะอย่างไร.
สัปดาห์ที่แล้ว ฉันได้แสดงให้คุณเห็นว่าผู้เขียนมัลแวร์มีอะไรบ้าง เริ่มใช้วิศวกรรมสังคมเพื่อกำหนดเป้าหมาย Google Chromeด้วยการจำลองหน้าจอความปลอดภัยสีแดงสดของ Chrome ที่น่าเชื่อถือเพื่อหลอกให้เหยื่อติดตั้งแพ็คเกจมัลแวร์
ตอนนี้ฉันเห็นหลักฐานว่าเป้าหมายต่อไปคือ OS X นั่นอาจเป็นข่าวร้ายสำหรับเจ้าของ Mac ที่ละทิ้งพีซีของตนเนื่องจากเชื่อว่าการเปลี่ยนมาใช้ Mac จะสร้างภูมิคุ้มกันให้พวกเขาจากมัลแวร์
ผู้เชี่ยวชาญด้านความปลอดภัยรู้ดีว่า Mac ไม่มีสิ่งมหัศจรรย์อะไรเมื่อพูดถึงเรื่องความปลอดภัย พวกเขาไม่ได้ตกเป็นเป้าหมายเพราะ Windows เป็นเป้าหมายใหญ่มาเป็นเวลานาน
แต่ตอนนี้ที่ Mac ประสบความสำเร็จอย่างมากในตลาด พวกเขาก็ได้รับความสนใจจากผู้เขียนมัลแวร์ ตามรายงานจากบริษัทรักษาความปลอดภัยด้านไอทีของเดนมาร์ก กลุ่มใต้ดินได้เสร็จสิ้นการทำงานกับชุดปฏิบัติการเต็มรูปแบบแล้ว ออกแบบมาโดยเฉพาะเพื่อสร้างมัลแวร์ที่มุ่งเป้าไปที่แพลตฟอร์ม Mac OS:
ชุดป้องกันอาชญากรรม DIY ขั้นสูง (Do-It-Yourself) ขั้นสูงชุดแรกที่มุ่งเป้าไปที่แพลตฟอร์ม Mac OS X เพิ่งได้รับการประกาศในฟอรัมใต้ดินบางแห่งที่ปิดตัวลง … ชุดนี้จำหน่ายภายใต้ชื่อ Weyland-Yutani BOT และเป็นชุดแรกที่ตีแพลตฟอร์ม Mac OS เห็นได้ชัดว่าการเปิดตัว iPad และ Linux โดยเฉพาะนั้นอยู่ระหว่างการเตรียมการเช่นกัน
[…]
Weyland-Yutani BOT รองรับการแทรกเว็บและการดึงแบบฟอร์มใน Firefox; อย่างไรก็ตาม ทั้ง Chrome และ Safari จะตามมาในเร็วๆ นี้ เทมเพลต webinjects นั้นเหมือนกับเทมเพลตที่ใช้ใน Zeus และ Spyeye
CSIS eCrime Unit มีวิดีโอที่บันทึกทั้งแผงผู้ดูแลระบบและฟังก์ชันการทำงานตลอดจนตัวสร้างเอง คลิปวิดีโอทั้งสองคลิปพิสูจน์ให้เห็นว่าชุดอุปกรณ์นี้ใช้งานได้เต็มรูปแบบแล้ว
นี่ไม่ใช่การโจมตีแบบพิสูจน์แนวคิดที่เขียนโดยนักวิจัยหรือบุคคลที่พยายามจะให้คะแนนรางวัลในการแข่งขันด้านความปลอดภัยเช่น Pwn2Own นี่คือเรื่องจริง
Peter Kruse หุ้นส่วนของ CSIS บอกฉันว่าตัวสร้างทำงานบน Windows “และตามการกำหนดค่าที่เพิ่มโดยผู้ใช้ ตัวสร้างจะสร้างไบนารีของ Mac ซึ่ง เห็นได้ชัดว่าสามารถใช้เพื่อขโมยข้อมูลจากโฮสต์ Mac ที่ติดไวรัสได้” ฉันมีโอกาสดูวิดีโอของโปรแกรมนี้ที่ใช้งานอยู่ และมันก็ใช้งานได้เช่นกัน โฆษณา การสร้างแพ็คเกจมัลแวร์ใช้เวลาเพียงไม่กี่คลิกและน้อยกว่าห้าวินาที เมื่อติดตั้งโทรจันบน Mac โฮสต์ระยะไกลสามารถบันทึกการกดแป้นพิมพ์ใน Safari และบันทึกรหัสผ่านได้ สำหรับบัญชี Gmail—มันสามารถตรวจจับและบันทึกความพยายามของเหยื่อในการเปลี่ยนแปลงผู้ที่ถูกบุกรุกได้ รหัสผ่าน.
การโจมตีอย่างกว้างขวางที่ฉันเฝ้าดูเมื่อปลายเดือนเมษายนมีองค์ประกอบครบถ้วนแล้วสำหรับการโจมตีเช่นนี้ ตัวอย่างเช่น นี่คือตัวอย่างสคริปต์ที่ฉันบันทึกจากไซต์ที่กำหนดเป้าหมายโดย Google:
การโจมตีนี้ซึ่งฉันเห็นซ้ำแล้วซ้ำอีกในผลการค้นหาของ Google ปรับแต่งผลลัพธ์ตามเบราว์เซอร์ของเหยื่อ และระบบปฏิบัติการ. เมื่อฉันใช้ Chrome ฉันเห็นการโจมตีที่จำลองหน้าจอความปลอดภัยจาก Chrome เมื่อฉันใช้ Internet Explorer ฉันเห็นหน้าจอที่เลียนแบบ Windows Explorer ใน Windows 7 เมื่อฉันใช้ Firefox การโจมตีดูเหมือนเป็นชุดหน้าจอ Windows XP
และเมื่อฉันเยี่ยมชมไซต์ที่ถูกวางยาพิษโดยใช้ Mac สคริปต์ตรวจพบระบบปฏิบัติการของฉัน ข้ามหน้าจอมัลแวร์ปลอมและเปลี่ยนเส้นทางฉันไปยังไซต์ฟิชชิ่งแทน
เหตุใดผู้เขียนมัลแวร์จึงไม่ส่งแพ็คเกจติดตั้ง OS X ที่ติดกับดักมาให้ บางทีมันอาจจะอยู่ในรายการสิ่งที่ต้องทำของพวกเขา
หากผู้เขียนมัลแวร์ตรวจพบว่าคุณกำลังเยี่ยมชมไซต์ "วางยาพิษ" โดยใช้ OS X ไซต์ดังกล่าวสามารถให้บริการ ไฟล์ปฏิบัติการที่ปรับแต่งให้ทำงานบน Mac และขโมยรหัสผ่าน บันทึกการกดแป้นพิมพ์ ส่งสแปม หรือส่ง ป๊อปอัพ. ผู้เขียนมัลแวร์สามารถเขียนโค้ดในช่องโหว่เพื่อใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับแพตช์ใน OS X หรือในโปรแกรมเช่น iTunes หรือ Adobe Flash เพื่อติดตั้งซอฟต์แวร์ในรูปแบบการดาวน์โหลดแบบไดรฟ์ พวกเขายังสามารถใช้กลวิธีเดียวกันกับที่ใช้ได้ผลดีกับผู้ใช้ Windows นั่นคือที่มาของวิศวกรรมสังคม หากเจ้าของ Mac ได้รับแจ้งว่ามีการอัปเดตที่สำคัญสำหรับ Flash หรือ iTunes และจำเป็นต้องติดตั้งทันที พวกเขาจะทำเช่นนั้นหรือไม่ เปอร์เซ็นต์ที่สำคัญบางอย่างจะเกิดขึ้นอย่างแน่นอน
ความคิดที่น่ากังวลยิ่งขึ้นสำหรับเจ้าของ Mac คือความเป็นไปได้ที่ผู้โจมตีจะสร้างแพ็คเกจแบบกำหนดเป้าหมายที่มุ่งเป้าไปที่ธุรกิจที่เปลี่ยนมาใช้ Mac หากคุณสามารถส่งไฟล์ PDF ที่ติดกับดักซึ่งดูเหมือนว่ามาจากแผนกทรัพยากรบุคคลของคุณ โอกาสที่ไฟล์นั้นจะถูกเปิดนั้นมีสูงมาก
หากกลุ่มตัดสินใจที่จะปรับใช้การโจมตีเช่นนี้ในวงกว้าง ผลกระทบต่อผู้ใช้ Mac อาจสร้างความเสียหายร้ายแรงได้ Mac เพียงไม่กี่เปอร์เซ็นต์เท่านั้นที่ใช้ซอฟต์แวร์แอนตี้ไวรัส และผู้ใช้ Mac ถูกกำหนดให้เชื่อว่าพวกเขารอดพ้นจากภัยคุกคามทางอินเทอร์เน็ต นั่นเป็นการรวมกันที่อันตรายถึงชีวิต
อัปเดต: H/T Rob VandenBrink ที่ SANS ซึ่งกล่าวถึงสิ่งนี้ ในโพสต์เมื่อเช้านี้ ที่ส่งฉันไปสู่แหล่งเดิม