Mac OS X больше не безопасна: началась эпидемия Crapware / Malware

2024 Автор: Geoffrey Carr | [email protected]. Последнее изменение: 2023-12-17 10:57

Пользователи OS X любят высмеивать пользователей Windows как единственные, у которых есть проблема с вредоносным ПО. Но это просто не так, и проблема за последние несколько месяцев резко возросла. Присоединяйтесь к нам, когда мы раскрываем правду о том, что происходит на самом деле, и, надеюсь, предупреждаем людей о предстоящей гибели.

Поскольку на самом деле это Unix под капотом, OS X обладает некоторой собственной защитой от худших типов вирусов. Но в наши дни проблема заключается не в вирусах, которые полностью разрушают ваш компьютер, это шпионское ПО, crapware и рекламное ПО, которые проникают на ваш компьютер, захватывают ваш браузер, вставляют объявления и отслеживают то, что вы смотрите. И многое из этого является законным, потому что вы обманываете себя, чтобы щелкнуть по ошибке во время установки.

А теперь загружайте сайты, поддельные объявления для программного обеспечения в поисковых системах, а отрывочные приложения объединяют рекламное ПО и crapware в инсталляторы для законного программного обеспечения. Вы не можете просто предположить, что вы в безопасности, потому что вы находитесь на OS X. Вам нужно быть осторожным, что вы загружаете и что вы нажимаете.

Если вы не думаете, что это большая проблема, подумайте еще раз. Эти рекламные ролики вставляются непосредственно в браузер, и они анализируют и работают даже на защищенных сайтах, таких как ваш банк, сайт кредитной карты и электронную почту, отправляя данные на свои серверы. Они не используют прокси-сервер HTTPS-захвата совсем не из того, что мы можем сказать во время наших исследований, но это всего лишь вопрос времени, и они, возможно, уже делают это, и мы еще не нашли доказательства.

Поскольку мы в первую очередь являемся пользователями Mac, мы здесь, в How-To Geek, мы действительно надеемся, что Apple примет другую тактику с этой проблемой, чем Microsoft с Windows, и не позволяет этим мошенникам уничтожать свою платформу.

Пакет Crapware для OS X ухудшается каждый день

Не так давно вы могли установить почти что-нибудь для OS X практически с любого сайта, и вам не пришлось беспокоиться о том, на что вы нажали. Это просто не так, и в то время как все лучше, чем в Windows, на данный момент это всего лишь вопрос времени.

У вас все еще есть безопасный источник программного обеспечения в Mac App Store, но проблема в том, что не все продавцы продают свое программное обеспечение через App Store, и многие из них продают старые версии там и имеют последнюю версию на своем собственном веб-сайте. Если вы придерживаетесь App Store, вам не о чем беспокоиться. Нам бы хотелось, чтобы Apple исправила некоторые проблемы с App Store и заставила всех использовать ее.

Как и в Windows, вам не нужно смотреть дальше, чем CNET-загрузки, чтобы найти в комплекте crapware … даже для Mac. Правильно, они прошли кросс-платформу с этой ерундой. И они сделали это хуже, потому что у вас либо есть кнопка Install, либо кнопка Close. Там уже нет Отклонения! Когда вы нажмете «Закрыть», установщик полностью отключится. Таким образом, вы либо включили crapware, который захватывает ваш браузер, либо вы не можете установить это приложение.

На скриншоте устанавливается Spigot и множество других глупостей, которые перенаправляют ваш браузер на Yahoo, устанавливают кучу нежелательных плагинов и обычно заставляют плачущего монстра-спагетти кричать. Удивительно, сколько денег Yahoo должно погрузиться в эти вещи, чтобы захватить ваш браузер в поисковой системе … когда это даже не их. Yahoo Search - это просто ребрендированная версия Bing. Ну что ж.

О, мой! На следующем экране установщик, наконец, позволяет вам снова отказать! Возможно, что на скриншоте так плохо, что даже CNET-файлы не хотят навязывать вам это. Не хороший знак.

Конечно, это не просто загрузка CNET, связанная с комплектацией, - мы обнаружили, что ряд других приложений распространяются на бесплатных загружаемых сайтах, которые делают свою собственную комплектацию. Например, YTD, который загружает рекламное ПО HTTPS-hijacking для Windows, имеет версию Mac. И они также связывают Spigot. Хотите что-то торчать? Почему бы вам не скачать uTorrent со своего сайта? Кажется, люди любят это использовать. Оооо.

Проблема становится намного хуже, когда вы пытаетесь найти бесплатную версию своей любимой поисковой системы. Здесь стоит отметить, что Google только недавно начал пытаться запретить вложенные crapware из своих результатов и объявлений, но, к сожалению, Yahoo и Bing не имеют такого же уровня удивительного. На самом деле, они просто ужасны.

Если вы обычный, обычный пользователь и вы ищете Yahoo для «vlc download», вам будет представлено что-то похожее на следующий снимок экрана. И каждая вещь на странице на самом деле является ссылкой на комплектный установщик crapware для VLC, и почти все они являются кросс-платформенными и работают на OS X. И текст, который говорит «объявление», почти невидим.

Когда ничего не подозревающий пользователь пытается использовать один из этих установщиков, ему будет представлен экран, похожий на этот …, который устанавливает ужас InstallMac, который захватывает все и помещает рекламное ПО в вашу систему - это ужасно. И, конечно, следующий экран пытается заставить вас установить что-то еще, что вам не нужно. А потом еще что-то. Это так много crapware.

Мы нашли намного больше программного обеспечения, которое обслуживается таким образом, с тонны инсталляторов почти из каждой упакованной компании-установщика crapware. Вот установочный пакет для OpenOffice в комплекте с действительно паршивым рекламным ПО, которое просто берет ваш браузер. Да, мы снова искали Yahoo для OpenOffice и нажимали на то, что мы на самом деле считали настоящим сайтом, потому что их текст «объявления» был настолько мал, что мы не могли сказать разницы. И вот что придумало.

Это станет эпидемией для пользователей Mac. Так что же нам с нетерпением ждать?

Adware и вредоносное ПО на OS X почти так же ужасно, как и в Windows

Когда вам удастся заразиться чем-то, большинство рекламных, вредоносных и шпионских программ в ОС X попытается каким-то образом заразить ваш браузер, захватив вашу новую вкладку, поиск и домашние страницы, вставляя объявления на страницы и произвольно выскакивая неприятные оповещения о технической поддержке. Большинство из них не уничтожит ваш жесткий диск или что-нибудь действительно страшное … но на основе растущей сложности, которую мы видим, это всего лишь вопрос времени.

Многие из этих угонщиков браузера будут размещать объявления, в которых появляются сообщения, которые не могут быть отклонены независимо от того, что вы делаете, как вы можете видеть на скриншоте выше. И они будут постоянно отображаться постоянно, пока вы просматриваете, и вам нужно CMD + Q, чтобы закрыть приложение полностью, чтобы избавиться от них. По сути, ваш браузер становится совершенно бесполезным.

Простейшее рекламное ПО будет установлено в вашем браузере как расширение и сбросит все ваши страницы, чтобы пройти через их ужасную, ужасную поисковую систему. И тем самым мы в основном имеем в виду Yahoo … но есть масса других, таких как searchmoose, search-quick и searchbenny, которые используют свои собственные поддельные поисковые системы. Некоторые из них перенаправят вас на Bing, но никогда напрямую. Это всегда через посредника, как Trovi.

Большинство объявлений, которые будут введены, попытаются обмануть вас в установке еще большего количества объявлений с использованием фальшивых сообщений плагина Java или сообщений, сообщающих вам установить кодек или новую версию Flash. Разумеется, все это подделка и просто установит на ваш компьютер еще больше вредоносных программ и вредоносных программ. Время от времени один из них будет пытаться обслуживать рекламное ПО Windows, но по большей части они достаточно умны, чтобы знать, что вы являетесь пользователем Mac и обслуживаете соответствующий фрагмент crapware.

Многие рекламные программы перенаправляют вашу поисковую систему на поддельную поисковую систему, которая очень похожа на Google или Bing, но все результаты - это не что иное, как реклама.

И тогда он случайно начнет разговаривать с вами. В прямом смысле. Он воспроизводит аудиообъявления через динамики. Мы услышали объявление для Northrup Grumman. Как это безумие? (Мы совершенно уверены, что они об этом не знают).

Мы просто продемонстрировали некоторые из раздражающего рекламного ПО, но большая часть комплектного crapware тоже довольно отвратительная, и почти каждый комплект crapware, который мы нашли, и почти каждое рекламное объявление пытались заставить нас установить MacKeeper. Мы мало знаем об этом, хотя мы планируем изучить, как это работает, потому что эта тактика сомнительна.

Самая большая тенденция, которую мы заметили в рекламном ПО, заключается в том, что почти все это пытается перенаправить браузер и поисковую систему на Yahoo. Кто-то там в Yahoo должен быть уволен.

Копаем глубже: как некоторые из этих вредоносных программ на самом деле работают

Простое рекламное ПО работает так, как делает большинство рекламных роликов, установив себя в расширения Safari, которые довольно легко удалить. Проблема в том, что в наших исследованиях работали только несколько рекламных блоков.

Все из-за угона поисковой системы, перенаправления домашней страницы и расширений объявлений для инъекций - это одно. Большей проблемой является серьезное вредоносное ПО, которое устанавливается глубоко в операционную систему, и средний человек никогда не сможет его удалить. Там нет деинсталлятора, нет элемента «Автозагрузка», нет никаких плагинов в вашем браузере, расширениях или чем-либо еще, которые, как представляется, будут установлены.

Тем не менее, есть действительно ужасные объявления, введенные во все, что вы делаете, делая ваш компьютер медленнее, чем грязь. Ваша поисковая система будет захвачена, и возможно, что ваш браузер будет перенаправлен через прокси. Это откровенное вредоносное ПО, это не просто рекламное ПО, даже если вы случайно забыли снять флажок где-нибудь. Он работает так же, как вредоносное ПО Trovi в Windows, внедряя себя в процессы.

Эти более серьезные вредоносные программы устанавливают себя как демон или службу, которые выполняются в фоновом режиме и за кулисами. Вы можете найти эти вещи в папке / Library / LaunchAgents или / Library / LaunchDaemons, которая будет иметь некоторые действительно странные вещи, которые просто не принадлежат. Эта папка также может использоваться для реальных вещей из реальных приложений, поэтому не очищайте эту папку полностью или что-либо еще.

Рассмотрение файла plist покажет вам, где находится фактическое вредоносное ПО, которое обычно находится в полностью отдельной папке.

Когда вы направляетесь в эту папку и просматриваете файл Version.plist, вы получите дополнительную информацию о том, что происходит на самом деле. Эта вещь называется Search-Quick, и по какой-то причине она поддерживает захват Chrome и Safari, а также ночную сборку Webkit.

Изучение далее приходит с чем-то любопытным … человек, который написал эту вредоносную программу, хотел особо поблагодарить его маму.

Как только вредоносная программа запускается ОС X как демон, она использует малоизвестную функциональность в OS X, которая позволяет одному процессу внедрять себя в другой процесс.Вы можете увидеть, как это работает, открывая терминал и запуская исполняемый файл агента напрямую. Что на самом деле происходит, так это то, что он будет прикрепляться к вашему веб-браузеру и загружать себя как скрытое расширение. На скриншоте ниже вы можете увидеть, что он активирован для идентификатора процесса 544, который был Google Chrome. Он будет делать то же самое с Safari, если он открыт.

Это означает, что рекламное ПО или вредоносное ПО внутри вашего веб-браузера, вставляя себя на каждую страницу, которую вы посещаете. Неважно, посещаете ли вы безопасный банковский сайт или нет, они уже внутри. Одним из побочных эффектов этого вредоносного ПО является то, что весь ваш компьютер будет очень медленным, все время, независимо от того, что вы делаете.

Для некоторых советов по удалению рекламного ПО и вредоносного ПО в OS X вы можете прочитать документ поддержки Apple или просто ждать наших предстоящих статей по этому вопросу. Мы будем делать гораздо больше исследований во всех этих вещах.

Итак, что это все значит, и как вы защищаете себя?

Несмотря на то, что мы показали, что вредоносное ПО, рекламное ПО, crapware и шпионское ПО все больше ухудшаются в OS X, это не означает, что вам обязательно нужно беспокоиться или выйти, установить Linux или сделать что-то радикальное. OS X по-прежнему не нацелена так сильно, как Windows, и есть еще некоторые меры безопасности, которые затрудняют проникновение вредоносного ПО.

Самое безопасное, что вы можете сделать, это использовать Mac App Store для установки ваших приложений, когда это возможно. Эти приложения были проверены Apple и должны быть в порядке, и, безусловно, не будут поставляться в комплекте с программным обеспечением или рекламным ПО.

Ограничить приложения, которые не находятся в магазине приложений

Это не полностью устранит проблему, но вы можете настроить OS X на автоматическое ограничение любых исполняемых файлов, которые не поступают из App Store. Это не относится к приложениям, уже установленным на вашем компьютере, независимо от того, откуда они взялись. Он будет просто применяться к новым загрузкам.

Перейдите в раздел «Системные настройки» -> «Безопасность и конфиденциальность», щелкните значок «Заблокировать» внизу, а затем переверните настройку в Mac App Store вместо значения по умолчанию.

Как только вы это сделаете, попытка запустить все, что не входит в App Store, автоматически покажет сообщение блока. Вы можете по-прежнему открывать его, если вы щелкните правой кнопкой мыши и выберите «Открыть», а затем снова выберите «Открыть», но по умолчанию все заблокировано.

Это не решает проблему приложений, которые выделатьхотите установить с пакетом crapware, который должен отказаться от него по умолчанию. Но это отличная настройка безопасности для ваших родственников.

Когда вам нужно установить приложение из другого места, убедитесь, что он действительно надежный источник, а не поддельный сайт, обслуживающий бесплатное ПО с открытым исходным кодом с помощью обертки пакета.

Вы также должны рассмотреть возможность отключения плагинов для браузера - для Chrome и Firefox это довольно просто, для Safari это немного сложнее. Самое главное, что вы можете сделать, это отключить плагин Java, потому что для вас это довольно редко, и потому, что Java отвечала за 91% атак в 2013 году. Это уменьшит вероятность того, что вы будете нацелены на атаку с нулевым днем.

Возможно, даже пришло время начать рассмотрение антивируса для OS X, по крайней мере, если вам нравится устанавливать большое количество программного обеспечения из источников за пределами App Store. Если вы этого не сделаете, это, вероятно, не такая уж большая сделка, но мы приближаемся к точке, где это будет необходимо. Мы еще не совсем уверены в том, что антивирус для Mac даже стоит и блокирует этот тип вещей - в Windows большинство антивирусов вообще не блокирует пакетное программное обеспечение и рекламное ПО, поскольку они являются законными, так как вы должны были согласиться во время установки. Так что не платите за какой-то антивирус прямо сейчас. Просто имейте это в виду на будущее.

Помимо этого, просто будьте осторожны, что вы нажимаете, и не доверяете сообщениям об ошибках, появляющимся в окне вашего веб-браузера. Если вы видите что-то, что говорит о заражении вашего компьютера, и появляется сообщение, удерживайте комбинацию клавиш быстрого доступа CMD + Q, чтобы немедленно закрыть все.

Нет лучшего времени для пользователей Windows, чтобы переключиться на Mac. Благодаря тому, что разрабатывается много технологий и рекламного ПО, они будут чувствовать себя как дома! (Конечно, мы шутим).