MAC Defender, il finto antivirus individuato da Intego per Mac OS X


Intego ha scoperto un falso programma antivirus denominato MAC Defender, che colpisce gli utenti Mac tramite attacchi di avvelenamento SEO (siti web creati che approfittano dei trucchi per l'ottimizzazione dei motori di ricerca ed ottenere la comparsa di siti dannosi in cima ai risultati di ricerca). Quando un utente fa clic su certi link dopo aver effettuato una ricerca su un motore di ricerca come Google, vengono inviati a un sito Web che visualizza una falsa schermata di Windows con un'immagine animata che mostra una scansione malware, una finestra indica quindi l'utente che il loro computer è infetto.

Dopo questo, il JavaScript nella pagina scarica automaticamente un file. Il file scaricato è un archivio ZIP compresso, che, se una specifica opzione in un browser web è attiva ("Apri 'sicuri' dopo il download" in Safari, per esempio), il documento verrà automaticamente aperto. Il file viene decompresso, e l'installer contenuto viene lanciato presentandosi ad un utente con la seguente schermata:


Se l’utente continua, indicando nome e password dell’amministratore, l’applicazione viene installata. Lo scanner in tempo reale di VirusBarrier X6 rileva questo programma di installazione quando viene scaricato:


Dopo l'installazione, un programma chiamato MAC lancia Defender, mostrando la sua interfaccia, e l'aggiunta di una voce di menu nella barra dei menu di Mac OS X. Questa applicazione è molto ben progettata, e di aspetto professionale.


MAC Defender apre anche le pagine web per i siti web pornografici nel browser dell’utente. Questo fa in modo che gli utenti pensano di essere infettati da un virus, e pagheranno per MAC Defender. Facendo clic sul pulsante Register sullo schermo gli utenti aprono una pagina web dove è possibile acquistare una licenza per il programma: un 1 anno, 2 anni, o di una licenza a vita. Gli utenti sono invitati a fornire un numero di carta di credito, e la pagina web usata non è sicura. 

La truffa consiste nel fornire un programma che non fa nulla, le avvertenze virus presentati sono falsi, e dopo aver pagato, avrete pagato per un software inutile e fornite le vostre credenziali di carta di credito. Lo stesso meccanismo truffaldino usato per colpire in queste ore gli utenti Windows. Il livello di pericolosità di questo malware è ovviamente molto basso. Utenti poco esperti però potrebbero essere tratti in inganno dal nome e installare l’applicazione fornendo le credenziali corrette.

Nessun commento:

Posta un commento