Mac OS X više nije siguran: Epidemija Crapware / Malware je počela

2024 Autor: Geoffrey Carr | [email protected]. Zadnja promjena: 2023-12-17 10:57

OS X korisnici žele zabaviti korisnike sustava Windows kao jedine koje imaju problem s malware-om. Ali to jednostavno nije istina, a problem je dramatično porastao u posljednjih nekoliko mjeseci. Pridružite nam se dok otkrivamo istinu o tome što se stvarno događa i nadamo se da će ljudi upozoriti na predstojeću propast.

Budući da je zapravo Unix pod kapuljačom, OS X ima neku prirodnu zaštitu od najgorih vrsta virusa. Ali problem ovih dana nije virus koji potpuno uništava vaše računalo, to je spyware, crapware i adware koji se približavaju računalu, otimaju vaš preglednik, umetaju oglase i prate ono što gledate. I većina je zakonska, jer ste začepljen klikom na pogrešnu stvar tijekom instalacije.

A sada preuzimanje web-lokacija, lažni oglasi za softver na tražilicama i skrivene aplikacije povezuju adware i crapware u instalere za legitiman softver. Ne možete samo pretpostaviti da ste više sigurni jer ste na OS X-u. Morate biti pažljivi što preuzimate i što kliknete.

Ako ne mislite da je ovo velika stvar, razmislite ponovo. Ti se dijelovi adwarea izravno umetnu u preglednik, a analiziraju i prikazuju čak i na sigurnim web stranicama poput banke, web mjesta kreditne kartice i e-pošte, slanjem podataka na svoje poslužitelje. Oni ne upotrebljavaju HTTPS protuprovalni proxy sasvim još od onoga što možemo reći tijekom našeg istraživanja, ali to je samo pitanje vremena, a možda već to čine i još nismo pronašli dokaz.

Budući da smo prvenstveno korisnici Maca ovdje u How-To Geeku, nadamo se da će Apple poduzeti drugačiju taktiku s ovim problemom nego što je Microsoft imao sa sustavom Windows i ne dopušta tim krijumčaračima da unište njihovu platformu.

Priloženi Crapware za OS X postaje sve lošiji svaki dan

Nije bilo davno da biste mogli instalirati gotovo sve za OS X s gotovo bilo koje web stranice, a zapravo niste trebali brinuti o tome na što ste kliknuli. To više nije istina, a dok su stvari bolje od Windowsa, to je samo pitanje vremena u ovom trenutku.

I dalje imate sigurno softver za Mac App Store, ali problem je da svi dobavljači ne prodaju softver putem trgovine App Store, a mnogi od njih prodaju postojeće verzije i imaju najnoviju verziju na vlastitoj web stranici. Ako se pridržavate trgovine App, ne morate se brinuti. Voljeli bismo vidjeti da Apple popravlja neke od izdanja App Storea i da ga svi koriste.

Baš kao u sustavu Windows, ne morate tražiti dalje od preuzimanja CNET-a da biste pronašli složene crapware … čak i za Mac. Tako je, oni su otišli na platformu s ovim glupostima. I to je pogoršalo, jer imate gumb Instalacija ili gumb Zatvori. Više nema ni Odbijanja! Kada kliknete Zatvori, instalacijski program potpuno se isključuje. Znači, imate ili pakirane sranje koje kidaju vaš preglednik ili ne možete instalirati tu aplikaciju.

Onaj u slici zaslona instalira Spigot i hrpu drugih besmislica koja preusmjerava vaš preglednik na Yahoo, instalira gomilu neželjenih dodataka, a općenito čini da leteći špageti čudovište plakati. Nevjerojatno je koliko novaca Yahoo mora potonuti u ove stvari kako bi oteli vaš preglednik svojoj tražilici … kad nije ni njihov. Yahoo Search je zapravo samo rebrandirana verzija Binga. Dobro.

Oh moj! Na sljedećem zaslonu instalacijski konačno vam dopušta ponovno odbijanje! Možda je stvar na snimci zaslona tako loša čak i CNET Downloads ne žele to prisiliti na vas. Nije dobar znak.

Naravno, to nije samo CNET Preuzimanja koja se bavila povezivanjem - otkrili smo i niz drugih aplikacija koje se distribuiraju na besplatnim web mjestima za preuzimanje koje rade vlastitu grupiranje. Na primjer, YTD koji učitava adware za otmicu HTTPS za Windows ima verziju Maca. A oni također povezuju Spigot. Želite li nešto probiti? Zašto ne biste preuzeli uTorrent s web stranice? Izgleda da ljudi to vole. Ohhh.

Problem postaje mnogo, mnogo gore, kada pokušavate pretražiti freeware pomoću svoje omiljene tražilice. Ovdje je vrijedno napomenuti da je Google tek nedavno počela nastojati zabraniti grupirani crapware iz svojih rezultata i oglasa, ali nažalost Yahoo i Bing nemaju istu razinu strašan. Zapravo, oni su samo strašni.

Ako ste prosječni, redovni korisnik i pretražujete Yahoo za "vlc download", predstavit ćete nešto što izgleda kao sljedeći snimak zaslona. A svaka pojedina stvar na stranici zapravo je veza s instalaterom za VLC u paketu, a gotovo svi od njih su cross-platforma i rade na OS X-u. Tekst koji kaže "oglas" gotovo je nevidljiv.

Kada netko tko ne sumnja da pokuša koristiti jednog od tih instalatera, bit će prikazan sličnim zaslonom … koji instalira strašnu situaciju InstallMac koja otima sve i stavlja adware u vaš sustav - to je strašno. I, naravno, sljedeći zaslon pokušava uvesti da instalirate nešto drugo koje vam nije potrebno. I onda nešto drugo. Toliko je sranja.

Pronašli smo mnogo više softvera koji se poslužuju na taj način, s tonom instalatera iz gotovo svake tvrtke s instalaterom za crapware. Evo paketa za instaliranje OpenOffica u paketu s jako lošim oglasnim programom koji samo preuzima vaš preglednik. Da, opet smo tražili Yahoo za OpenOffice i kliknuli smo na ono što smo doista mislili kao pravi web mjesto jer je njihov tekst "oglas" toliko mali da nismo mogli prepoznati razliku. I ovo je ono što se dogodilo.

Uskoro će postati epidemija za Mac korisnike. Pa što onda moramo gledati prema naprijed?

Adware i zlonamjerni softver na OS X je gotovo jednako strašan kao i na Windowsu

Kada uspijete dobiti nešto zaraženo, većina adwarea, zlonamjernih programa i špijunskih programa na OS X pokušat će na neki način zaraziti vaš preglednik, oteti vašu novu karticu, pretraživanje i početne stranice, ubrizgavanje oglasa na stranice i nasumično otvarajući upozoravajuće upozorenja o tehničkoj podršci. Većina toga neće izbrisati tvrdi disk ili bilo što stvarno strašno … ali na temelju sve većeg sofisticiranosti koju vidimo, to je samo pitanje vremena.

Mnogi od tih otmičara preglednika ugrađuju oglase koji prikazuju poruke koje se ne mogu odbaciti, bez obzira što radite, kao što možete vidjeti na snimci zaslona iznad. I slučajno će se prikazivati cijelo vrijeme dok pregledavate, a morate imati CMD + Q kako biste potpuno zatvorili aplikaciju da biste se riješili. U osnovi, vaš preglednik postaje potpuno beskoristan.

Najjednostavniji adware će se instalirati u vaš preglednik kao produžetak i resetirati sve vaše stranice da prođu kroz njihov grozan, strašna tražilice. A to većinom znači Yahoo … ali ima puno drugih poput pretraživača, pretraživača i pretraživača koji koriste vlastite lažne tražilice. Nekoliko će vas preusmjeriti na Bing, ali nikad izravno. Uvijek je posrednik poput Trovi.

Većina oglasa koji se ubrizgavaju pokušat će vas zavarati u instalaciju još više oglasa pomoću lažnih Java dodatnih poruka ili poruka koje vam govore da instalirate kodek ili novu verziju Flasha. Sve su to lažne, naravno, i samo će instalirati čak i više crapwarea i zlonamjernih programa na vaše računalo. Svako sada i onda jedan od njih pokušat će poslužiti dio Windows adwarea, ali većinom su dovoljno pametni da znaju da ste korisnik Mac računala i poslužite se odgovarajućim komadima.

Puno adwarea preusmjerit će vašu tražilicu na lažnu tražilicu koja izgleda puno poput Googlea ili Binga, ali svi rezultati nisu ništa drugo nego oglasi.

A onda će nasumično početi razgovarati s tobom. Doslovno. Reproducira audio oglase putem zvučnika. Čuli smo oglas za Northrup Grummana. Kako je to ludo? (Svjesni smo da ne znaju za ovo.)

Upravo smo pokazali neke od dosadnih adwarea, ali puno od pakiranog crapwarea također je prilično loše, i gotovo svaki pojedini paket koji je pronašao, a gotovo svaki adware oglas pokušao nas je da instalirate MacKeeper. Ne znamo mnogo o tome, iako namjeravamo istražiti kako to radi, jer takve taktike su upitne.

Najveći trend koji smo primijetili u adwareu je da gotovo sve to pokušava preusmjeriti vaš preglednik i tražilicu na Yahoo. Netko tamo u Yahoo mora dobiti otkaz.

Kopanje dublje: kako neki od tih zlonamjernih programa zapravo funkcioniraju

Jednostavna adware funkcionira na način na koji se većina adwarea instalira u Safari proširenja, što je prilično lako deinstalirati. Problem je u tome što je u našem istraživanju radilo samo nekoliko komada adwarea.

Sve su otmice tražilice, preusmjeravanje početne stranice i proširenja koja ubrizgavaju oglase jedna stvar. Veći problem je ozbiljan zlonamjerni softver, koji se instalira duboko u operativni sustav, a prosječna osoba nikada ne bi mogla ukloniti. Nema deinstalacije, nema stavke za pokretanje, nema preglednika, proširenja ili bilo čega drugog koji se čini instaliranim.

Ono što je, međutim, doista su grozni oglasi ubrizgavani u sve što radite, čime vaše računalo sporije od prljavštine. Vaša će tražilica biti otet, a moguće je da će vaš preglednik biti preusmjeren putem proxy poslužitelja. Ovo je izravno zlonamjerni softver, a ne samo adware, čak i ako ste slučajno zaboravili da negdje poništite okvir. Radi na isti način na koji Trovi zlonamjerni softver radi na Windowsu, ubrizgavanjem u procese.

Te ozbiljnije komadi zlonamjernog softvera se instaliraju kao demon ili servis koji se izvodi u pozadini i iza kulisa. Te stvari možete pronaći u mapi / Library / LaunchAgents ili / Library / LaunchDaemons koja će imati neke stvarno čudne stavke koje jednostavno ne pripadaju. Ova se mapa također može koristiti za stvarne stvari iz stvarnih aplikacija, pa nemojte čistiti ovu mapu u potpunosti ili bilo što drugo.

Pregled plist datoteke će vam pokazati gdje se nalazi stvarni zlonamjerni softver, koji je obično u potpuno zasebnoj mapi.

Kada krenete u tu mapu i pregledate datoteku Version.plist, dobit ćete više informacija o tome što se zapravo događa. Ono se zove Search-Quick i podržava otpuštanje Chromea i Safarija, kao i WebKit za svaku noć.

Ispitivanje dalje dolazi s nečim znatiželjnim … osoba koja je napisala ovaj zlonamjerni softver htio je posebno zahvaliti svojoj majci.

Nakon što je OS X pokrenuo zlonamjerni softver kao demon, on tada koristi malo poznati dio funkcionalnosti u OS X koji omogućuje da se jedan proces ubrizgava u drugi proces.Možete vidjeti kako to funkcionira otvaranjem terminala i izravnim pokretanjem izvršnog agenta. Ono što se zapravo događa je da će se priključiti na vaš web preglednik i učitati se kao skriveno proširenje. U donjem zaslonskom prikazu možete vidjeti da je aktiviran za ID 544 procesa, koji je bio Google Chrome. To će učiniti isto Safari ako je otvoren.

To znači da je pokrenut adware ili zlonamjerni softver u vašeg web preglednika, ubrizgavanjem u svaku stranicu koju posjećujete. Nije bitno ako posjetite sigurno mjesto za bankarstvo ili ne, već su u njoj. Jedna od nuspojava ovog zlonamjernog softvera je da će cijelo vaše računalo biti iznimno sporo, cijelo vrijeme, bez obzira što radite.

Za neke savjete o uklanjanju adwarea i zlonamjernog softvera u sustavu OS X, možete pročitati dokument podrške tvrtke Apple ili samo pričekajte naše predstojeće članke o ovoj temi. Radit ćemo mnogo više istraživanja o svim tim stvarima.

Pa što to sve znači, i kako se zaštititi?

Iako smo pokazali da zlonamjerni softver, adware, crapware i spyware sve više pogoršavaju OS X, to ne znači da se morate nužno brinuti ili izlaziti i instalirati Linux ili učiniti nešto drastično. OS X još uvijek nije ciljano koliko je Windows, a još uvijek postoje sigurnosne mjere koje otežavaju zlonamjerni softver.

Najsigurnije što možete učiniti je koristiti Mac App Store da biste instalirali svoje aplikacije kad god je to moguće. Ove aplikacije potvrđene su od strane Apple i trebale bi biti u redu za upotrebu, a definitivno neće doći ni s bilo kojom skupinom niti adwarea.

Ograničite aplikacije koje nisu iz trgovine aplikacija

To neće u potpunosti riješiti problem, ali možete konfigurirati OS X da automatski ograniči sve izvršne datoteke koje ne dolaze iz App Storea. To se neće primijeniti na aplikacije već instalirane na vašem računalu, bez obzira gdje dolaze. Jednostavno će se primijeniti na nova preuzimanja.

Idite na postavke sustava -> Sigurnost i privatnost, kliknite ikonu Zaključaj pri dnu, a zatim prebacite postavku na Mac App Store umjesto zadane.

Kada to učinite, pokušavate pokrenuti sve što nije u App Storeu automatski će se prikazati blokirana poruka. Možete ga i dalje otvoriti ako desnom tipkom miša kliknete i odaberete Otvori, a zatim ponovo odaberite Otvori, ali prema zadanim postavkama sve je blokirano.

To ne riješi problem aplikacija koje ste vičinižele instalirati u paketu s crapwareom koji zahtijeva isključivanje prema zadanim postavkama. Ali to je velika sigurnosna postavka za vaše rođake.

Kada trebate instalirati aplikaciju s drugih mjesta, provjerite je li to doista pouzdan izvor, a ne lažna web-lokacija koja poslužuje freeware otvorenog koda s paketom paketa.

Treba također razmotriti onemogućavanje dodataka preglednika - za Chrome i Firefox, to je prilično jednostavno, za Safari je malo složeniji. Najveća stvar koju možete učiniti je onesposobiti svoj Java plugin jer je prilično rijedak da vam je to potrebno, i zato što je Java odgovoran za 91% napada u 2013. godini. Time ćete smanjiti vjerojatnost da ćete biti ciljani nultog dana napada.

Možda je i vrijeme za početak razmotriti antivirusni program za OS X, barem ako želite instalirati puno softvera iz izvora izvan App Storea. Ako to ne učinite, vjerojatno nije baš tako velik posao, ali se približavamo točci gdje će biti potrebno. Ono što još nismo sigurni jest ono što antivirusni program za Mac vrijedi i blokira ovu vrstu sadržaja - u sustavu Windows, većina antivirusnih programa uopće ne blokira sveobuhvatne crapware i adware jer su zakonski, jer se morate složiti tijekom instalacijski postupak. Zato nemojte samo platiti neke antivirusne proizvode. Samo imajte na umu za budućnost.

Osim toga, samo pazite na to što kliknete i ne vjerujete u poruke o pogreškama koje se pojavljuju u prozoru web preglednika. Ako vidite nešto što kaže da je vaše računalo zaraženo i pojavljuje se poruka, držite pritisnutu kombinaciju tipki prečaca CMD + Q da biste odmah zatvorili sve.

Nema boljeg vremena za korisnike sustava Windows da se prebace na Mac. S ovim mnogo crapware i adware se razvio, oni će se osjećati kao kod kuće! (Naravno, šalimo se.)