Fup-antivirus spreder sig til Mac

Manipulation af brugeren er det vigtigste våben for de it-kriminelle, og nu er gamle Windows-plager nu dukket op til Mac. Foreløbigt uskadeligt, men det varsler nye tider om angreb, der går på tværs at platformene.

San Francisco: Mac-brugere har længe hævdet at være hævet over plager som trojanske bagdøre og spyware, men de it-kriminelles foretrukne våben er i dag mindre afhængigt af platformen og mere afhængigt af brugeren.

En velkendt plage for Windows-brugere er således nu dukket op til Mac rapporterer sikkerhedsfirmaerne F-Secure og Trend Micro.

Det drejer sig om falske antivirus- og antispywareprogrammer, som udgiver sig for at være legitime sikkerhedsprodukter, der kan finde og fjerne ondsindede programmer fra brugerens pc.

Til Mac er det første tydelige eksempel programmet MacSweeper, som via websteder hævder at scanne brugerens Mac, hvorefter den finder flere ondsindede spionprogrammer.

Brugeren opfordres til at købe den fulde version af MacSweeper for at fjerne de påståede spywareprogrammer.

Let at forveksle med den ægte vare

I dette tilfælde bliver metoden gjort ekstra vanskelig for den urutinerede bruger at gennemskue, da der ifølge Trend Micro faktisk findes et legitimt program kaldet Mac Sweeper - i to ord - som bruges til at rydde op på en Mac.

Fup-programmet MacSweeper foretager derimod intet på brugerens system, før brugeren køber og installerer den fulde version.

Brugeren får i stedet præsenteret falske popup-vinduer med advarsler om, at der er fundet spyware på systemet, og brugeren bliver spurgt, om han vil køre en udvidet scanning.

Scanningen er dog kun en Flash-animation. Besøger man de websteder, der spreder MacSweeper, fra en Windows-pc, vil man se en scanning med Mac OS X-lignende vinduer. De filer, som programmet angiveligt skulle finde, ligger også i mapper, som kun findes på Mac.

Mac-brugerne har hidtil været forskånet for ondsindede programmer. MacSweeper befinder sig i samme gråzone som adware og visse browser-hijackere, hvor programmerne ikke gør decideret skade, men heller ikke giver brugeren nogen værdi.

Snedige tricks og letsindige brugere

Platformen er siden oktober også blevet udsat for de første forsøg på at sprede falske video-codecs, som installerer en Mac OS X-variant af en trojansk bagdør, der ændrer DNS-opsætningen på systemet.

Fælles for disse angreb er, at de i mindre grad benytter sig i sårbarheder i softwaren eller dårligt sikkerhedsdesign, og i højere grad benytter sig af manipulation af brugeren. Det har vist sig at være nok til at få brugerne til at omgå den basale sikkerhed i Windows, og den samme opskrift kan derfor også bruges på Mac og andre platforme.

»Du kan i dag ende med at downloade og installere det ondsindede program helt bevidst, fordi bagmændene bruger snedige tricks. De falske video-codecs er ét af de mest udbredte,« siger teknisk direktør for Trend Micros antivirusafdeling Raimund Genes til Version2.

Kærlighedens mørke side

Gruppen bag Storm-varianterne til Windows har haft stor succes med at hæfte sig på aktuelle begivenheder. I sidste uge dukkede de første eksempler op, hvor virusbagmændene benyttede Valentins Dag som tema i e-mails, der skulle lokke modtagerne ind på ondsindede websteder.

Men i modsætning til tidligere er bagmændene blevet meget bedre til at få brugeren til at tro, at processen er legitim ved at få den til at ligne noget, brugeren kender til. Som eksempelvis behovet for at skulle installere ekstra software for at kunne se et videoklip eller spille et spil.

»Du er i dag nødt til at bruge noget, der virker overbevisende, for at få brugeren til at omgå sikkerhedsadvarslerne på systemet. For eksempel brugte de kriminelle førhen automatisk oversættelse af teksten, så det var meget dårlige oversættelser. I dag er angrebene fuldstændig tilpasset de lokale sprog,« siger Raimund Genes.

Mac-platformen udgør stadig et mindretal i forhold til Windows, men mange af de nye angreb sker ved hjælp af komplette værktøjssæt. Det gør det muligt fra det samme websted at forsøge at udnytte sårbarheder i både Internet Explorer, Firefox eller andre programmer.

Den samme metode vil meget let kunne udnyttes til at skabe angreb, der indeholder både en Windows- og en Mac-komponent.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere