Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner
How To

Apple uppdaterar XProtect för att blockera ny hävstångsvariant

Apple uppdaterar XProtect för att blockera ny hävstångsvariant

Efter upptäckten av en ny version av OSX / Leverage, en bakdörr som först upptäcktes 2013, har Apple utfärdat en uppdatering av sina XProtect-malware-definitioner till version 2093. Den här uppdateringen ger grundläggande upptäckt för detta nya hot, som Apples säkerhetsteam heter OSX. .Leverage.A. Intego VirusBarrier ger redan skydd mot detta hot, som det identifierar som OSX / FlashyComposer.A.

OSX.Leverage.A

Skadlig kod är en nyare version av OSX / Leverage.A, som Intego analyserade redan 2013. Medan kärnkällorna för de två Leverage-exemplen är desamma, finns det några anmärkningsvärda skillnader i det nya hotet.

Related:Förvandla ditt Amazon Echo till Yoda för Star Wars Day

Den första hävstångsvarianten var en Trojan-applikation som maskerade som en bild (.app-filtillägget var inte synligt som standard), och när det väl var installerat avslöjade vår testning att Trojan skulle försöka ladda ner en logotyp för den syriska elektroniska arméns hackargrupp på den infekterade maskinen.

Utnyttja Mac Trojan

Den nya iterationen förklarar sig som en falsk Flash Player-uppdatering, som Intego varnade för att hända i vårt blogginlägg 2013. Dessutom undertecknas den nya versionen av Leverage-skadlig programvara med ett Apple-kodsigneringscertifikat utfärdat till en utvecklare med namnet “Aleks Papandopulo”, som påpekats av Eduard Kovacs från Security Week.

Related:Tre viktiga förbättringar som Google Assistant får och du kommer att uppskatta

Ett potentiellt offer kommer att landa på en webbsida som är utformad för att se ut som om det är en legitim Adobes webbplats som laddar en iframe från en URL med skadlig kod. (RELATERAT: Hur man vet om Adobe Flash Player-uppdatering är giltig)

GetFlashPlayer

Den skadliga koden försöker ladda ner och installera en falsk Flash-uppdatering. Bildkredit: Volexity.

Related:Hur man aktiverar moderläget (ja, det finns) på ditt Amazon Echo

Om ett offer tillåter att den skadliga filen körs när den uppmanas eller manuellt kör den från nedladdningsmappen, installerar Leware-skadlig programvara en bakdörr som kör tillbaka till sin kommando- och kontrollserver (C&C) -servern en gång per sekund tills en anslutning upprättas och skickar information om den infekterade Mac. Veloxity-forskare förtydligade vältaligt: ​​”Till skillnad från den tidigare versionen av skadlig programvara begränsar den nya versionen sig inte till en fördefinierad uppsättning kommandon och tillåter istället en obegränsad kapacitet för kommandoskal tillbaka till ett infekterat system.”

Intego VirusBarrier med uppdaterade virusdefinitioner kommer att upptäcka och utrota Leverage malware, den ursprungliga varianten identifierad som OSX / Hävstång. A., och på grund av hur den nya Mac Trojan förklarar sig som en falsk Flash Player-uppdatering kommer den nya varianten att flaggas av vårt antivirusprogram som OSX / FlashyComposer.A.

Detta inlägg postades i Säkerhetsnyheter och taggade skadlig kod, OSX / FlashyComposer.A, OSX / Leverage.A, XProtect. Bokmärk permalänken.

Rekommenderad: