В среде специалистов по информационной безопасности (ИБ) паника: несколько специалистов сообщили о появлении новой программы-вымогателя (malware). Вредоносная программа Mughthesec заражает устройства под управлением OS X.
Thanks, Patrick sent me the hash too. Looks like a new variant of something we call OperatorMac (though that may be a bad name).
— Thomas Reed (@thomasareed) August 8, 2017
Как давно появилась новая малварь и что из себя представляет, неизвестно. Вероятно, Mughthesec – новая версия известного вредоноса OperatorMac.
Однако, есть данные о том, что программа запущена достаточно давно и успела заразить большое количество компьютеров. Как минимум, 1 известный специалист по ИБ описывает свое столкновение с Mughthesec еще полгода назад:
I can confirm it’s been there for at least 6 months when I found it on my parents MacBook. I just wiped it but thanks for the write up!
— Neal (@iNeal) August 9, 2017
Как распространяется Mughthesec?
Вероятно, Mughthesec попадает на компьютеры пользователей через вредоносную рекламу и всплывающие окна на подозрительных сайтах. При этом для установки maleware необходимо подтверждение пользователя.
И она его легко получает. На данный момент вредоносная программа распространяется в виде файла файла Player.dmg. Файл устанавливает настоящий Adobe Flash Player для Mac со всеми сертификатами — абсолютно подлинную версию.
Вместе с Flash происходит установка нежелательного приложения Advanced Mac Cleaner и расширений для Safari — Safe Finder и Booking.com. Наличие этих приложений является единственным способом обнаружить заражение компьютера.
Как избавиться от Mughthesec?
Никакие антивирусы пока не реагируют на наличие Mughthesec. Анализ активности Mughthesec показал, что вредонос имеет встроенный механизм, предотвращающий обнаружение антивирусным ПО.
Также вредонос подписан действительным сертификатом разработчика Apple, что помогает не вызывать подозрения у защиты GateKeeper.
Подобные программы, как правило, удаляются из системы простой деинсталляцией или удалением исполняемых файлов. К сожалению, Mughthesec – не тот случай.
Поскольку программа действует очень давно, злоумышленники могли загрузить на машины жертв столько активных исполняемых файлов Mughthesec, сколько необходимо для беспрерывной работы вредоноса при любых действиях пользователя.
Поэтому исследовавшие вредонос специалисты рекомендуют при наличии Mughthesec полностью переустановить систему.
13 комментариев