Palsu Symantec Blog mendistribusikan macOS Proton

Computer Security News

Sebuah blog yang palsu perusahaan sah keamanan Symantec menyebar versi baru dari Proton malware penargetan macOS.

Para pengembang Proton malware yang dibuat symantecblog [dot] com yang baik imitasi nyata Symantec blog dan bahkan cermin konten dari situs web asli.

Sepertinya blog palsu mempromosikan sebuah aplikasi bernama “Symantec Malware detektor” melalui posting tentang versi baru dari CoinThief, namun, itu benar-benar mendistribusikan OSX. Proton.

Ternyata informasi pendaftaran domain sah dan nama dan alamat yang sama dengan orang-orang yang menggunakan Symantec, namun, alamat email yang menunjukkan bahwa ada sesuatu salah. Selain itu, sertifikat yang digunakan untuk website adalah sah SSL sertifikat dikeluarkan oleh Comodo dan bukan oleh otoritas sertifikat Symantec.

Pakar keamanan melaporkan bahwa account palsu dan sah telah menyebarkan link ke blog palsu pada kegugupan, dan para hacker di balik kampanye ini mungkin digunakan mencuri password untuk mengakses akun yang sah untuk mempromosikan malware.

Sedang diaktifkan untuk pertama kalinya, aplikasi Symantec Malware detektor menunjukkan jendela sangat sederhana, menggunakan logo Symantec, mengaku mewajibkan otorisasi untuk melakukan cek sistem. Menurut peneliti, jika pengguna menutup jendela saat ini, Proton malware tidak akan diinstal ke sistem.

Dalam hal korban potensial setuju untuk menjalankan cek, admin password diminta dan perangkat lunak jahat mencuri password pengguna. Setelah itu, aplikasi menunjukkan kemajuan bar mengaku menjadi pemindaian komputer, namun, Proton malware diinstal sebagai gantinya.

Sebagai Symantec Malware detektor aplikasi adalah tidak lebih dari malware pipet, semua pengguna yang telah men-download itu disarankan untuk menghapusnya dan mencoba untuk membersihkan komputer mereka sekaligus.

Yang diinstal ke sistem, Proton segera mulai mengumpulkan informasi pengguna, misalnya admin password dan informasi lainnya yang sensitif (PII), dan menyimpan semua data ke file tersembunyi. Gantungan kunci file, auto-isi data peramban, kubah 1Password dan GPG sandi juga dicuri.

Proton executable jatuh dalam direktori .random dan tetap berjalan oleh agen peluncuran com.apple.xpcd.plist. Informasi dicuri disimpan di .cachedir folder.

“Untungnya, Apple menyadari malware ini dan telah dicabut sertifikat yang digunakan untuk menandatangani malware. Hal ini akan mencegah infeksi masa depan oleh Symantec Malware detektor. Pencabutan sertifikat tidak akan, dengan sendirinya, melakukan apa pun untuk melindungi sebuah mesin yang sudah terinfeksi,” ahli keamanan negara.

Proton malware telah dibuat untuk mencuri rahasia login dan pengguna terkait disarankan untuk mengambil tindakan darurat pasca infeksi. Mereka harus mempertimbangkan semua password online mereka sebagai dikompromikan dan mengubah mereka, sementara pengaturan sandi yang berbeda untuk setiap situs dan menyimpan semua dari mereka di password manager.

Selain itu, tidak ada sandi harus disimpan dalam keychain atau di mana saja pada PC dan memungkinkan dua faktor otentikasi harus meminimalkan dampak.


Leave a Reply

Your email address will not be published. Required fields are marked *