一名安全研究人员今天表示,一些骗子利用基地组织头目奥萨马·本·拉登被美军击毙的消息,散布针对苹果电脑的假安全软件。
一家专门研究Mac软件的安全公司称,对于针对苹果用户的恶意软件制造者来说,这是“向前迈出的一大步”。
总部位于法国的Intego杀毒软件公司的发言人彼得·詹姆斯(Peter James)说,长期以来,运行微软Windows系统的用户一直被安全专家称为“流氓软件”(rogueware)的假冒杀毒软件困扰,但这是第一次有骗子用一款复杂的、看起来很专业的安全应用程序攻击Mac电脑。Intego是一家只针对Mac电脑的杀毒软件公司。
“对于Mac恶意软件来说,这确实是一个非常大的进步,”James说。
该程序被称为MAC Defender,与现有的“流氓软件”(rogueware)类似。“流氓软件”指的是声称个人电脑严重感染了恶意软件的虚假安全软件。一旦安装,这类软件就会到处弹出窗口和假警报来骚扰用户,直到他们支付一笔费用来购买这个毫无价值的程序。
到目前为止,rogueware只针对Windows电脑。
莫斯科卡巴斯基实验室(Kaspersky Lab)的高级恶意软件研究员库尔特·鲍姆加特纳(Kurt Baumgartner)表示,这种情况已经改变。他今天表示,一个分发MAC Defender的组织也在积极传播Windows流氓软件。
鲍姆加特纳在谈到MAC Defender的准备工作时说:“他们已经为此加紧了几个月。”
上个月,鲍姆加特纳报告说,“。cc”域——这些域经常被用来传播恶意软件和主机攻击代码感染的网站——已经开始托管虚假安全网站,并发布“2011年最佳防病毒”流氓软件。
四月初,他在。co。在cc域名中,Baumgartner发现了一个明确针对mac的URL:“antispyware-macbook(dot)co(dot)cc”。
“这是非常奇怪的,这个组织营销的‘快速Windows防病毒2011’从‘macbook’域,”鲍姆加特纳说博客.
今天,鲍姆加特纳说,一个使用。cc域名正在为mac电脑提供虚假的安全软件,这是诱骗Windows用户下载和安装虚假程序的广泛行动的一部分。
这场运动正在利用本拉登之死的热门新闻话题让人们点击链接,将浏览器重定向到rogueware下载。骗子们使用了“黑帽”SEO(搜索引擎优化)策略,将rogueware的链接推到谷歌图像搜索结果的更高位置。
但这并不是欺骗Mac用户安装Mac Defender的唯一方式。
周六,也就是奥巴马总统宣布击毙本拉登的前一天,苹果的支持论坛上开始出现受感染用户的信息。
“macdefender是什么?为什么它要自己安装到我的电脑上?“wamabahama”4月30日。
第一个以mac电脑为目标的假反病毒程序谎称电脑感染了严重病毒。(图片:Intego安全。)
“顺便告诉你,我女儿说,这个项目是在点击一张‘发型照片’后开始的,”“修理家居服务先生”在同一个支持帖子上补充道。还有人说,在搜索舞会礼服或电影《公主新娘》(Princess Bride)中某个角色的照片后,偶然发现了MAC Defender。
周一,Intego发表了一份详细的咨询他说这款游戏“设计得非常好,看起来很专业。”
詹姆斯说,Intego在周六发现了MAC Defender并获得了样本,他指出用户必须输入管理密码才能安装该程序。“所以这里仍然有社会工程的角度,”他说。
事实上,当用户第一次点击rogueware的链接时,他们看到的是一个通用的面向windows的页面。“他们甚至没有一个mac专用的页面,”詹姆斯说。
但是,除非用户将Safari设置为在下载后不会自动打开文件,否则MAC Defender的安装界面无需用户操作即可打开。这已经足够让一些人通过输入他们的管理密码来批准安装。
该程序还依靠一种不同寻常的技术让用户付费。
“每隔几分钟,它就会在浏览器中打开一个色情页面,”MAC Defender的詹姆斯说。“我们认为,他们这么做是因为大多数人会认为,这意味着他们的Mac电脑上有病毒,他们需要花钱购买程序来清除病毒。”
MAC Defender的售价为60- 80美元,取决于用户选择的是一年、两年还是终身“授权”。
具有讽刺意味的是,MAC Defender只接受8到10个序列号,詹姆斯说,这些序列号被塞进了二进制文件中——没有加密——高级用户可能就能把它们弄出来。
詹姆斯还指出,MAC Defender的外观和感觉表明,犯罪分子对从MAC用户那里获取利润是认真的。“这是由一个非常老练的Mac界面开发人员完成的,”詹姆斯说。“这是一个明显的迹象,(骗子)开始把目标对准mac电脑。早些时候的(诈骗),比如2008年的MacSweeper,根本就没费心让自己看起来很专业。”
Intego发现了MacSweeper, a伪造的麦金塔系统清洗程序2008年1月。
MAC Defender也造成了一些附带损害:rogueware使用了与一家开发MAC软件的合法德国公司相同的名称。
“几天前,一个名为MAC Defender (MacDefender.app)的恶意软件应用程序出现在OS X上。MacDefender网站.如果你看到一个应用程序/安装程序的名字是这样的,不要下载/安装它。我绝不会发布这样的应用程序。”
James说,rogueware的名字选择可能是“PC防卫者”和“Windows防卫者”的扭曲,这两个词在许多基于Windows的假冒反病毒程序的标题中使用。
运行Safari浏览器的Mac用户可以通过取消在浏览器的选项界面的常规选项卡底部的“下载后打开'安全'文件”的复选框来防止Mac Defender在下载后自动打开。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇题为“针对Mac用户的虚假安全软件”的文章最初是由《计算机世界》 .