Una banda organizada parece estar detrás de un "scareware" programa conocido como Mac Defender que las descargas en sí a equipos de los usuarios de Apple y exige el pago a "eliminar las infecciones".
El programa, que configuración de hazañas por defecto en Safari de Apple y otros navegadores que se descarga, sólo se puede ejecutar si el usuario permite que sea instalado por proporcionar su nombre y contraseña de administrador, pero un número significativo de usuarios, posiblemente en los cientos, se han visto afectados .
personal de apoyo de Apple han sido notificados del problema y se les dijo que está "bajo investigación", pero se advirtió que no para confirmar si se trata de malware. Ed Bott de ZDNet ha transmitido una copia de los dictámenes distribuyó a personal de apoyo y le dijeron el número de llamadas sobre el problema ha aumentado considerablemente.
Las diferentes versiones del programa, conocida por varios nombres como Mac Defensor, MacProtector y "Mac de Seguridad", que apareció en línea en los últimos quince días. The Guardian ha descubierto que se ha difundido a travíés de redes de publicidad en periódicos como el Washington Post y por "envenenado" las búsquedas en Google Imágenes.
Joel Esler de la Sourcefire Vulnerability Research Team, que ha analizado el ataque , dijo a The Guardian que cuando el usuario visita una página infectada con un anuncio o enlace, la descarga llamado "mac-antivirus.zip" se inicia automáticamente por JavaScript. Debido a que por defecto Safari de Apple a un ajuste de "archivos abiertos despuíés de la descarga", el programa que contiene un paquete de aplicación envuelto en un archivo zip es el primer descomprimido y luego activa el programa de instalación.
Los usuarios se presentó a continuación un cuadro de diálogo preguntando por su nombre y contraseña de administrador para la instalación puede continuar. Si lo hacen, el programa se instala en la carpeta / Aplicaciones y se agrega a los elementos de entrada del usuario, y pone un elemento de menú en la parte superior derecha del menú.
Entonces, el programa se ejecuta automáticamente cuando el usuario inicia una sesión, y periódicamente pretende ser "barrido" el equipo, y vomita las demandas de datos de la tarjeta de críédito. Estos continuar o no la gente entra en detalles válida.
Si el usuario con discapacidad "archivos abiertos despuíés de la descarga" a continuación, establecer el proceso de instalación no se activará.
Esler, que ha analizado el programa, dice que las direcciones a las que los datos de la tarjeta de críédito se envían difiere entre las distintas versiones de los programas: "Una investigación fue en Arizona, otro estaba en Rumania", dijo.
Pero tambiíén dijo que el programa no parece ser malicioso más allá de su objetivo de extraer información de tarjetas de críédito. "Es lo que yo llamo" ransomware ". Es actos" como es infectar su equipo, lanzando un anuncio emergente o sitio porno, para que se cree que están infectadas. Se le pide que compre esta solución anti-malware llamado "MacDefender" para el bajo precio de 0.99 '79 ". Cuando en realidad, el software no hace nada."
Tales "ingeniería social" trucos para hacer que los usuarios para descargar e instalar scareware son comunes en Windows, pero su aparición en la plataforma Mac de Apple indica que los criminales han descubierto las debilidades en la configuración por defecto de Mac OS X que pueden explotar.
La gente detrás de los ataques han demostrado su eficacia a cubrir sus huellas. The Guardian en contacto con alojamiento Atjeu, que había servido sin saberlo, uno de los anuncios de infectados en el Washington Post, y se le dijo que no había registros de que había puesto ahí.
"El dueño del servidor que este sitio se encuentra alojado en un cliente nuestro, sino que es un distribuidor y lo que venden sitios web individuales para los usuarios finales y tambiíén a otros revendedores de alojamiento web", dijo el administrador Atjeu.
"No tenemos registros de los usuarios finales en todo lo que a menudo pueden ser tres o cuatro capas por debajo de nosotros. Parece, sin embargo, que lo que sucedió en este caso era una cuenta en el servidor se ha visto comprometida y el pirata, los cuales representan para poner el sitio malicioso de modo que no habría registros oficiales de cualquier tipo de que lo que realmente fue. "
"Paso a paso las instrucciones sobre cómo quitar el MacDefender y programas MacProtector están disponibles en Fixkb.com .
