Специалисты Malwarebytes выявили киберкампанию, в ходе которой хакеры занимаются распространением нового варианта вредоносной программы Proton для macOS, используя фальшивый блог Symantec.
Сайт Symantecblog[.]com, имитирующий работу корпоративного ресурса, содержит контент из настоящего блога, например, материал, посвященный новейшей версии троянской программы CoinThief и предлагающий установить приложение Symantec Malware Detector. На самом деле оно заражает компьютеры пользователей вредоносной программой Proton.
Домен и адрес поддельного сайта похожи на легитимные, но электронный адрес выглядит подозрительно. Также на фальшивом ресурсе применяется SSL-сертификат Comodo, вместо тех, что выдает удостоверяющий центр Symantec. Распространение ссылок на блог осуществляется и через подставные, и через легитимные Twitter-аккаунты. По мнению специалистов, организаторы киберкампании могли заполучить доступ к аккаунтам посредством похищенных логинов и паролей. Также хакеры могли обманным путем заставлять пользователей продвигать ссылки на фальшивый ресурс.
После запуска Symantec Malware Detector пользователь видит простой интерфейс с логотипом Symantec и просьбой пройти авторизацию для проверки системы. Если жертва закроет окно, то сможет предотвратить заражение, в противном случае происходит установка вредоносной программы на компьютер. Проникнув в систему, Proton запускает процесс сбора различной информации, включая пароли и персональные данные. Собранные данные помещаются в скрытом каталоге.
Эксперты сообщили в Apple о проблеме, после чего корпорация отозвала сертификат, применяемый для подписи вредоносной программы. Это позволит в перспективе предотвратить случаи заражения через Symantec Malware Detector, но уже никак не поможет владельцам устройств, зараженных Proton. После удаления вредоносной программы с устройства специалисты советуют поменять всю учетную информацию.