Ha nem lenne elég a COVID19, íme egy friss tanulmány: a Malwarebytes statisztikái szerint tavaly igencsak meglódultak a maces fenyegetések. A csapat összességében 400%-kal több fenyegetésnek azonosított programot talált a felhasználók gépein, de, kapaszkodjunk meg:
az egy gépre vetített azonosított program is magasabb lett, mint a Windows-os gépek esetében!
A Windows-on csak 5,8, míg egy Macen 11 olyan találat van, amit a Malwarebytes fenyegetésként azonosít.
Most akkor essünk pánikba? Azért annyira ne.
Az a tény, hogy a Macen kevesebb a vírus vagy a hagyományos kártevő, sokáig inkább annak volt betudható, hogy egy pici piacról volt szó. Ha a világ számítógépeinek 95%-a Windows, akkor nem éri meg a maradék 5%-ra fejleszteni bármit, mert nem éri meg a strapát. Mint ahogy nem éri meg fejleszteni sem nagyon semmit, mivel ha spamek milliárdjait küldjük szét, az adathalászat a szaúdi örökösökkel is hoz a konyhára.
Macen tovább nehezítette a dolgot, hogy megjelent a Mac App Store, vagyis az Apple által átnézett és azonostott programok tárháza, ahonnan lehet telepíteni sok szoftvert. Alapértelmezettként a gépünk csak az innen származó szoftvereket hajlandó telepíteni, és ha ezt bekapcsolva hagyjuk, gyakorlatilag ki is iktattuk a fő veszélyforrást. Mert, ahogy mindjárt látjuk a Malwarebytes riportjából, még mindig a user error, tehát a felhasználó viselkedése okozza a fenyegetést.
Sajnos azonban sokszor ki kell kapcsolni azt a bizonyos kapcsolót. Van néhány igazán jó szoftver, ami nem volt hajlandó a Mac App Store-ban megjelenni, így weboldalról töltjük le a dmg-t, és úgy futtatjuk, telepítjük. Azt pedig, hogy az adott weboldalt milyen védelemmel látták el, már nem nagyon van rálátásunk.
A Maceken megtalálható legnépszerűbb “fenyegetések” leginkább PUP-k és adware-ek sokasága. Az adware reklámok segítségével szerez hasznot, nagy kárt nem tesz a gépünkben, csak picit megdolgoztatja, a PUP rövidítés pedig a kéretlen alkalmazásokra utal, vagyis olyan programokra, amiket nem is nagyon akartunk telepíteni, mégis olyan erőszakos vagy megtévesztő volt, hogy megtettük. Én sokszor belefutottam már a MacKeeperbe, ami egy felugró ablakon értesít, hogy a gépem fertőzött, és kell egy tisztító/vedő program, és íme a legnépszerűbb a platformon. Egy kattintás, és már ott is van a dmg a Letöltések mappában. De ez még nem elég, telepíteni is kell, viszont sokan meg is teszik, félve a korábbi üzenettől (úristen, vírusom van), így tényleg a legnépszerűbb tisztító app lesz belőle. Csak épp ő maga a fenyegetés.
Ezek nem igazán tekinthetőek malware-nem a statisztikát készítők szerint sem, általában nem okoznak kárt, de potenciálisan jelenhetnek fenyegetést, mert nem tudni, melyik mit művel a gépünkön. Felugró ablakban nem bízunk meg, ez legyen alap.
A listavezető NewTab nevű adware csak 2018 decembere óta terjed, de elég gyors ütemben. Hamis tracking vagy térképes oldalakon ver át minket. A megtévesztő weboldal azt állítja, hogy a beírt adatok alapján ad nekünk információkat (hol jár a csomagom? - például), majd attól föggetlenül, hogy mit írunk be, letölt és telepítésre ajánl egy PackagesTracker appot például. Telepítés után sem ad infót, viszont beépül a Safariba, és onnantól átirányítja a kereséseinket affiliate oldalakon keresztül, így reklámokból származó bevételhez juttatja a készítőket.
A Genieo ennél sokkal idősebb, 2013-as, de népszerűsége töretlen. Ez is affiliate bevételre tesz szert a gépünk forgalma segítségével, és több száz különböző név alatt fut. Az adware akkor vált át agresszívbe, amikor megpróbálod törölni: itt már malware-re emlékeztető dolgokat tesz, és a telepítése során is kihasznál bizonyos rendszersérülékenységeket.
A valódi macOS malware-ek száma alacsonyabb:
A FakeFileOpener például, miután a user feltelepítette valamilyen programmal együtt (megintcsak itt van a kutya elásva), különös helyre épül be. Amikor egy ismeretlen kiterjesztésű fájlt akarunk megnyitni, a Mac általában végső esetben a Mac App Store-t ajánlja, hogy keressünk rá a megfelelő programra. A FakeFileOpener itt lendül támadásba, és inkább átirányít egy oldalra, ami közli, hogy a gépünk fertőzött.
Így lehet telepíteni:
Így ver át minket ezután:
A fenti darabszámok nem a teljes Mac közösségre értendőek, csak a Malwarebytes által mért számok, azokon a gépeken, amik a Malwarebytes szoftverét futtatják, vagy amikről a Malwarebytesnak máshonnan van információja. A teljes riport elolvasása erősen ajánlott, hogy tudjuk, mi újság ezen a téren. De ha nem telepítünk semmit, csak amiről biztosan tudjuk, hogy micsoda, máris 99%-ban levédtük magunkat, úgy tűnik.
szucsadam
2019.07.15. 15:38
Címkék: vírus malware
Van egy Zoom videókonferencia program, amivel kapcsolatban múlt héten merült fel először, hogy mindannyiunk rémálmát valósítja meg:
olyan biztonsági rést hagy nyitva, amivel egy weboldal meglátogatása esetén a weboldalon keresztül hozzáférnek a kameránk képéhez.
Ez annyira ösztönös és zero-day félelem, tapasztalataim szerint főként férfiaknál (vajon miért?), hogy sokan az egyetlen megoldásként a kamera post-it-tal történő leragasztásában látták a menekülő utat. Biztonsági szakértők is. Láttam ilyet. De ti is láttatok hasonlót:
Nem maga a Zoom alapprogram volt a ludas, hanem egy web szerver segédprogram, ami a telepítéskor szintén felment, és amivel a böngészőnk elfogad olyan request-eket is, amiket egy normál böngésző nem. A cél a kényelem volt, hogy a weboldalak a böngésző segítségével Zoom hívást indíthassanak, csakhogy a telepített segédprogram tárva-nyitva hagyta a Mac-et a kamera átvételére támadóknak.
A probléma akkor sem szűnt meg, ha uninstallt nyomtak a felhasználók, mert a webes segédprogi akkor is maradt. Mindenféle Terminal-os parancsokkal lehetett letörölni a problémás fájlokat. Aki időben kapcsolt, a Zoom beállítások között kikapcsolta a Turn off my video when joining a meeting kapcsolót. Mindenesetre nagy volt a káosz.
Aztán az Apple azt csinálta, hogy kiadott egy gyors update-et, ami magától lejön, lefut, megtisztítja a rendszert, és kész. És hogy mit szólt a cég, akinek a kódjába belenyúlt az operációs rendszer gazdája?
Örülünk, hogy az Apple-lel dolgozhattunk ezen az update-en.
:)
Horváth Patrik
2017.05.06. 12:27
Címkék: vírus malware trójai
A Snake néven ismertté vált (de Turia és Oroburos néven is számon tartott) malware-t még 2008-ban fedezték fel Windows-os gépeken és sajnos azóta is folyamatosan fertőz meg eszközöket. A Linuxos változat 2014-ben érkezett meg, most pedig elkészült a Mac-es verzió is, amely pontosan ugyanazt a szisztémát használja, amely a másik két platformon - a készítők szemszögéből - sikerre vitte az alkalmazást.
A Malwarebytes munkatársai múlt héten találkoztak először a szoftverrel, amely egy első ránézésre ártalmatlan "Install Adobe Flash Player.app.zip" fájlként keringett a neten. A szoftver kezelőfelülete egy az egyben úgy néz ki, mint az Adobe hivatalos Flash Player install csomagja, ami nem véletlen, ugyanis valójában tényleg egy Flash Player telepítőt látunk és az sikeresen fel is kerül a gépünkre. A probléma ugyanakkor az, hogy ez egy módosított telepítő készlet, azaz nem csak a Flash Player, hanem egy ún. trójai alkalmazás is a rendszer részévé válik.
A kártékony kód a felhasználók elől rendszer szinten elrejtett /Library/Scripts/ könyvtárba kerül és Adobe indítóprogramnak nevezi magát, így tévesztve meg a rendszer és teszi lehetővé a háttérben való futását. A fertőzés segítségével hozzáférhetnek titkosítatlan adatainkhoz, illetve el is lophatják azokat a jelszavainkkal és a bejelentkezésekhez használt információkkal egyetemben.
A program egy jogosulatlanul használt tanúsítvány segítségével tud keresztül jutni a rendszer védelmén, de már nem sokáig, ugyanis az Apple - amint értesültek az esetről - az érintett tanúsítványt azonnal visszavonta, így, ha belefutnánk a kártékony kódot tartalmazó telepítőbe, akkor a macOS Gatekeeper szolgáltatása fel fogja hívni rá a figyelmünket, hogy valami nem okés, gondoljuk át inkább a dolgot.
Amennyiben valóban szükségünk van a Flash Playerre bizonyos tartalmak megtekintése miatt, akkor az alábbi lehetőségek egyikét ajánlanánk:
- látogassunk el az Adobe honlapjára és töltsük le a hivatalos változatot, vagy
- töltsük le és telepítsük fel a Google Chrome böngészőt, amely beépített Flash Playerrel rendelkezik és engedélyezzük neki annak használatát
Sokan a mai napi elhiszik, hogy Mac-re nem éteznek sem vírusok, sem egyéb kártékony szoftverek, így ebben a tudatban is használják gépeiket a mindennapok során. Az Apple ezért nyomatékosan kér minden tulajdonost, hogy kizárólag az App Store-ból, illetve megbízhatónak minősített fejlesztőktől töltsön le alkalmazásokat.
Horváth Patrik
2017.04.07. 15:54
Címkék: mac malware
Egy év alatt csaknem a tízszeresére(!) nőtt a macOS alatt futó kártékony programok listája, a legszembetűnőbb növekedést 2016 utolsó negyedéve produkálta. Október eleje és december vége között több mint 320 ezer rosszindulatú szoftvert találtak - derül ki a McAfee legfrissebb jelentéséből.
Aggodalomra ugyanakkor nincs ok, ugyanis ezek nagy része úgynevezett adware, tehát agresszív reklámprogram volt, amely általában bizonyos alkalmazások telepítése során válik a rendszer részévé és azon kívül, hogy roppant idegesítő tud lenni, valódi rombolást nem okoz.
Meg kell említeni ugyanakkor azt is, hogy vannak azért valóban kártékony kódok is a listán, amelyek egy része tipikus zsaroló szoftver, amely ellehetetleníti a számítógép használatát egészen addig, amíg nem fizetjük ki a "váltságdíjat" a fejlesztőjének. Az egyik legnagyobb port kavart ügy a népszerű bittorent klienshez, a Transmission-höz köthető, melynek egyik tavalyi verziója tartalmazott ilyen programot (angolul ransomware-t), de voltak jelszavakat lopó, illetve iPhone backupokat másoló megoldások is.
Bár a 2015 végén ismert 52 ezer kártékony szoftverhez képest a mostani 455 ezer körüli szám ijesztő ugrást jelent, a Mac-es rosszindulatú alkalmazások csupán apró cseppek a tengerben. A jelentés szerint 2016-ban összesen 630 millió(!) káros mintát fedeztek fel világszerte. Ha így nézzük, valóban nincs okunk félni, mindenesetre érdemes körültekintéssel eljárnia mindenkinek, honnan és milyen szoftvert tölt le a masinájára.
skarpad
2016.03.18. 09:27
Címkék: malware ios
Azt hitted, hogy védett a telefonod mindenféle malware-ek és egyéb támadások ellen? Hogy elég, ha nem jailbreakeled és hírből sem ismered az enterprise tanúsítvány fogalmát?
Jól hitted.
Most még - tesszük hozzá.
Itt van ugyanis az AceDeceiver, ami az iOS digitális jogkezelő mechanizmusának, a FairPlaynek sebezhetőségét kihasználva tud fertőzni nem jailbreakelt készülékeket és ehhez még az ilyenkor szokásos vállalati profil sem szükséges. Hogy miként?
Amikor a számítógépeteken, az iTunesból vásároltok appokat, azokat utána ugye fel is telepíthetitek. Az iOS eszközök autorizációs kódot kérnek az Apple szervereitől, hogy meggyőződjenek arról, hogy az adott appot tényleg megvásárolták-e. Az AceDeceiver fejlesztői az appok autorizációs kódjait elfogva, illetve egy az iTunes kliens funkcióit szimuláló szoftver az áldozat gépére trükközésével képesek elhitetni a készülékekkel, hogy a fertőzött appokat valóban megvették.
A fejlesztők így gyakorlatilag bármilyen, potenciálisan ártó szándékú alkalmazást a telefonra tudnak juttatni annak jogos használójának tudta nélkül.
A felfedező, a Palo Alto Networks biztonsági cég már szólt Cupertinonak, akik már eltávolítottak jó pár fertőzött appot, ám az exploit befoltozásával nem tudjuk hogy haladnak. Ilyenkor az Apple rendszerek esetében szokott lenni egy DE. Na most három van:
- A kód jelenleg még tartalmaz egy geotaget, ami megakadályozza, hogy a kártevő Kínán kívül aktivizálja magát.
- A kliens miatt egyelőre csak a Windows PC-s készüléktulajokat érinti a dolog.
- Olyan oktalannak kell lenni, hogy telepítsünk is a számunkra ismeretlen, nem túl bizalomgerjesztő nevű Aisi Helper klienst, hogy aztán az iTunes helyett azon keresztül szinkronizáljunk.
Persze azt nem nehéz belátni, hogy innen már csak egy lépés a geotag nélküli, akár az OS X-re is elérhető verzió. Kevésbé hozzáértő, tehát könnyen átverhető júzerek mindig lesznek.
Szakértők szerint a FairPlay-átverős megoldás annyira egyszerű, hogy hamar megjelenhetnek a copycat kártevők is - amennyiben a biztonsági rés nem kerül befoltozásra.
