Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Для проведения MitM-атак в систему устанавливается прокси, а в связку ключей добавляется корневой SSL-сертификат.
Необычный зловред для macOS нашли ИБ-специалисты. Программа устанавливает в систему собственный прокси-сервер и прослушивает трафик, передаваемый браузером Safari. Единственным видимым последствием взлома является подмена поисковой выдачи Google на аналогичные результаты Bing, однако теоретически киберпреступники способны изменять любые данные из HTTP/HTTPS-запросов жертвы.
По мнению аналитиков, заражение происходит через спам или drive-by-загрузки. Установщик маскируется под обновление Adobe Flash Player, однако на деле доставляет на компьютер два вредоносных скрипта. Первый изменяет настройки интернет-соединения так, чтобы весь трафик проходил через порт 8003, прослушиваемый злоумышленниками, а второй добавляет в связку ключей корневой сертификат безопасности.
Помимо этого, в инфицированную систему устанавливается локальный прокси-сервер Titanium Web Proxy — кроссплатформенная утилита с открытым исходным кодом, которая запускается на macOS, используя платформу MONO. С момента установки программы весь трафик, передаваемый браузером Safari, перехватывается и, при необходимости, изменяется.
Благодаря наличию действительного корневого сертификата прокси-сервер имеет возможность на лету генерировать сертификаты SSL/TLS для запрашиваемых сайтов. Это позволяет зловреду прослушивать не только HTTP-трафик, но также защищенные соединения.
Реализовав таким образом классическую схему атаки «человек посередине», операторы вредоноса пока лишь изменяют результаты поисковых запросов пользователя. ИБ-специалисты считают, что таким образом они монетизируют свою разработку, внедряя в выдачурекламные объявления, которыми изобилует Bing. Тем не менее, этим же методом можно модифицировать трафик для любых сайтов, а также перехватывать конфиденциальные данные жертвы.
Скорее всего, появление вредоносной программы стало ответом злоумышленников на изменение политики безопасности Safari, где после выхода macOS Mojave были запрещены сторонние плагины и выполнение сценариев AppleScript.
В прошлом году ИБ-аналитик Рафай Балох (Rafay Baloch) рассказал об уязвимости CVE-2018-8383, затронувшей интернет-обозреватель Apple. Баг в коде программы допускал отправку вредоносного запроса на несуществующий порт, что могло привести к открытию вредоносной страницы вместо легитимной и под ее адресом. Возможность подмены была вызвана ошибкой состояния гонки и позволяла киберпреступникам похищать учетные данные жертвы при помощи фишинговых страниц.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |