Situs palsu tersebut berisi sebuah posting blog tentang versi CoinThief yang baru, sebuah perangkat lunak perusak mulai tahun 2014. Setelah melalui "analisis", jabatan tersebut mempromosikan program yang tidak ada yang disebut "Symantec Malware Detector" - yang tentu saja , malware Proton yang menyamar.
Sangat mudah untuk melihat mengapa konsumen akan ditipu. Terlepas dari kenyataan bahwa situs tersebut sebenarnya memiliki konten., URL palsu itu yang cerdas: symantecblog [dot] com.
"Situs ini merupakan tiruan yang bagus dari blog Symantec yang sebenarnya, bahkan mencerminkan konten yang sama," kata Thomas Reed, direktur Mac & Mobile di Malwarebytes Labs, dalam sebuah analisis. "Informasi pendaftaran untuk domain tersebut muncul, sekilas, menjadi sah, menggunakan nama dan alamat yang sama dengan situs Symantec yang sah. Alamat email yang digunakan untuk mendaftarkan domain adalah hadiah mati. "
Menariknya (dan juga bendera merah), situs ini menggunakan sertifikat SSL yang sah, namun dikeluarkan oleh Comodo daripada otoritas sertifikat Symantec sendiri.
Sementara itu, link ke posting palsu telah menyebar di Twitter. Beberapa akun yang tweeting nampaknya merupakan akun palsu, namun ada juga yang dianggap sah.
"Mengingat fakta bahwa tujuan utama malware Proton adalah mencuri password, ini bisa jadi akun hacked yang passwordnya dikompromikan dalam wabah Proton sebelumnya," kata Reed. "Namun, mereka juga bisa menjadi hasil dari orang-orang yang ditipu untuk berpikir bahwa posting blog palsu itu nyata."
Pengguna yang mendownload dan menjalankan "Symantec Malware Detector" malah akan terinfeksi malware, yang kemudian menetapkan tentang menangkap informasi, termasuk memasukkan kata sandi admin pengguna dengan teks yang jelas, sambil mengirim informasi identifikasi pribadi lainnya (PII) ke file tersembunyi. Malware ini juga menangkap dan melakukan exfiltrates hal-hal seperti file keychain, data auto-fill browser, kubah 1Password, dan password GPG. Karena malware telah menghapus kata sandi pengguna, para hacker akan dapat mendekripsi file keychain seminimal mungkin.
Reed mengatakan bahwa Apple mengetahui adanya malware ini dan telah mencabut sertifikat yang digunakan untuk menandatangani malware, untuk mencegah infeksi di masa depan oleh Symantec Malware Detector. Ini tidak akan membantu melindungi mesin yang sudah terinfeksi.
"Karena Proton dirancang untuk mencuri kredensial login, Anda perlu melakukan beberapa tindakan darurat pasca infeksi," kata Reed. "Anda harus memperlakukan semua password online sebagai kompromi dan mengubah semuanya. Pastikan, saat Anda menggunakannya, gunakan kata kunci yang berbeda di setiap situs, dan gunakan manajer kata sandi (seperti 1Password atau LastPass) untuk melacaknya. Karena kubah 1Password adalah target Proton, pastikan Anda tidak menyimpan kata sandi utama manajer sandi Anda di gantungan kunci atau di tempat lain di komputer. Itu harus menjadi satu-satunya kata kunci yang Anda hafal, dan itu harus kuat. "
Pengguna juga harus mengaktifkan autentikasi dua faktor.
Malware Proton Mac kembali dengan metode baru dan ironis: Spoofing Symantec's security blog, lalu memperkuatnya melalui Twitter.
Situs palsu tersebut berisi sebuah posting blog tentang versi CoinThief yang baru, sebuah perangkat lunak perusak mulai tahun 2014. Setelah melalui "analisis", jabatan tersebut mempromosikan program yang tidak ada yang disebut "Symantec Malware Detector" - yang tentu saja , malware Proton yang menyamar.
Sangat mudah untuk melihat mengapa konsumen akan ditipu. Terlepas dari kenyataan bahwa situs tersebut sebenarnya memiliki konten., URL palsu itu yang cerdas: symantecblog [dot] com.
"Situs ini merupakan tiruan yang bagus dari blog Symantec yang sebenarnya, bahkan mencerminkan konten yang sama," kata Thomas Reed, direktur Mac & Mobile di Malwarebytes Labs, dalam sebuah analisis. "Informasi pendaftaran untuk domain tersebut muncul, sekilas, menjadi sah, menggunakan nama dan alamat yang sama dengan situs Symantec yang sah. Alamat email yang digunakan untuk mendaftarkan domain adalah hadiah mati. "
Menariknya (dan juga bendera merah), situs ini menggunakan sertifikat SSL yang sah, namun dikeluarkan oleh Comodo daripada otoritas sertifikat Symantec sendiri.
Sementara itu, link ke posting palsu telah menyebar di Twitter. Beberapa akun yang tweeting nampaknya merupakan akun palsu, namun ada juga yang dianggap sah.
"Mengingat fakta bahwa tujuan utama malware Proton adalah mencuri password, ini bisa jadi akun hacked yang passwordnya dikompromikan dalam wabah Proton sebelumnya," kata Reed. "Namun, mereka juga bisa menjadi hasil dari orang-orang yang ditipu untuk berpikir bahwa posting blog palsu itu nyata."
Pengguna yang mendownload dan menjalankan "Symantec Malware Detector" malah akan terinfeksi malware, yang kemudian menetapkan tentang menangkap informasi, termasuk memasukkan kata sandi admin pengguna dengan teks yang jelas, sambil mengirim informasi identifikasi pribadi lainnya (PII) ke file tersembunyi. Malware ini juga menangkap dan melakukan exfiltrates hal-hal seperti file keychain, data auto-fill browser, kubah 1Password, dan password GPG. Karena malware telah menghapus kata sandi pengguna, para hacker akan dapat mendekripsi file keychain seminimal mungkin.
Reed mengatakan bahwa Apple mengetahui adanya malware ini dan telah mencabut sertifikat yang digunakan untuk menandatangani malware, untuk mencegah infeksi di masa depan oleh Symantec Malware Detector. Ini tidak akan membantu melindungi mesin yang sudah terinfeksi.
"Karena Proton dirancang untuk mencuri kredensial login, Anda perlu melakukan beberapa tindakan darurat pasca infeksi," kata Reed. "Anda harus memperlakukan semua password online sebagai kompromi dan mengubah semuanya. Pastikan, saat Anda menggunakannya, gunakan kata kunci yang berbeda di setiap situs, dan gunakan manajer kata sandi (seperti 1Password atau LastPass) untuk melacaknya. Karena kubah 1Password adalah target Proton, pastikan Anda tidak menyimpan kata sandi utama manajer sandi Anda di gantungan kunci atau di tempat lain di komputer. Itu harus menjadi satu-satunya kata kunci yang Anda hafal, dan itu harus kuat. "
Pengguna juga harus mengaktifkan autentikasi dua faktor.
Post a Comment