Hrozby pro macOS: Škodlivá reklama si hledá cesty do zařízení přes napodobeniny přehrávačů
Uživatelé a uživatelky počítačů od Apple mohli v posledním čtvrt roce narazit na řadu napodobenin aplikací a nástrojů, které ukrývaly malware. V čele statistiky nejčastějších hrozeb pro platformu macOS v Česku a na Slovensku zůstávaly i v období od dubna do června 2024 adware Pirrit, downloader Adload a škodlivý kód PSW.Agent, který se řadí mezi tzv. infostealery.
Útočníci zneužívali nejen falešnou verzi aplikace Adobe
Flash Player, ale i aplikace určené k přehrávání médií, hudební soubory ve
formátu MP3 či cracky a warez verze známých komerčních aplikací. Vyplývá to z
pravidelné statistiky kybernetických hrozeb od společnosti ESET.
Podle statistiky kybernetických hrozeb pro platformu macOS v
Česku a na Slovensku byly nejčastěji detekovanými škodlivými kódy za období od
dubna do června 2024 adware Pirrit a downloader Adload. Oba typy škodlivých
kódů se objevily téměř v pětině všech případů. Ve druhém kvartálu roku 2024 je
doplnil škodlivý kód PSW.Agent, který se v čele statistiky objevuje od
letošního jara.
„U všech nejčastěji zachycených škodlivých kódů pro
platformu macOS jsme za sledované období pozorovali podobné chování. Útočníci
je vydávali za oblíbené nástroje a aplikace pro uživatele počítačů značky
Apple. Tyto napodobeniny známých aplikací samozřejmě obsahovaly nebezpečný kód.
Uživatelé navíc nemusí na první pohled nic poznat ani po stažení. I když
některé aplikace vůbec nefungují, řada z nich se i po stažení chová zcela
standardně jen s tím rozdílem, že do zařízení stahují další adware nebo jiný,
závažnější škodlivý kód,“ říká Jiří Kropáč, vedoucí výzkumné pobočky
společnosti ESET v Brně.
Škodlivé kódy se během sledovaného období objevovaly v řadě
různých napodobenin aplikací a nástrojů. Útočníci podporují šíření těchto
neoficiálních nebezpečných aplikací také online reklamou a optimalizací pro
vyhledávače (SEO). Díky tomu dokáží uživatelům nabídnout podvodné aplikace nebo
programy přímo mezi výsledky vyhledávání na internetu.
Adware se ukrýval v aplikacích pro přehrávání médií
Adware Pirrit se tentokrát ukrýval především v domnělém
instalátoru pro nástroj Adobe Flash Player. Útočníci tuto aplikaci napodobují
poměrně často a bezpečnostní experti opakovaně upozorňují, že oficiální vývoj
aplikace Adobe Flash Player byl již ukončen před několika lety. Downloader
Adload se pak nejčastěji vydával za přehrávače médií nebo hudební alba a
písničky ve formátu MP3.
„Zdrojem falešných aplikací jsou nejčastěji neoficiální
obchody třetích stran. Uživatelé a uživatelky ale stále stahují aplikace a
nástroje i z veřejných internetových úložišť. V případě downloaderu Adload
útočníci využili i SEO, optimalizaci pro vyhledávače, aby nabídli nebezpečné
verze aplikací cíleně uživatelům,“ říká Kropáč.
Adware Pirrit má především negativní vliv na výkon zařízení
a na uživatelský komfort při procházení internetu. Projevuje se velkým
množstvím reklamního obsahu a po kliknutí na některou z reklam mohou být
uživatelé přesměrováni na podvodné webové stránky nebo na stránky s dalším
malwarem. Downloader Adload pak stahuje do zařízení další adware.
Útočníky zajímají informace z našich kryptoměnových účtů
Škodlivý kód PSW.Agent se řadí narozdíl od adwaru a
downloaderu k malwaru, který je přímým nebezpečím pro naše osobní data.
Infostealery jsou hlavním rizikem také v případě operačního systému Windows.
Útočníci je nejčastěji využívají ke krádeži uživatelských jmen a hesel.
„Škodlivý kód PSW.Agent, známý také pod názvem Atomic
Stealer, se šíří prostřednictvím sponzorovaných odkazů ve vyhledávačích, k
čemuž využívá službu Google AdSense. Kromě jiných dat se cíleně zaměřuje na
informace kolem kryptoměn a kryptoměnových účtů. Dokáže ze zařízení odcizit
dokumenty programů MS Word nebo Excel, ale i soubory kryptoměnových peněženek
Electrum, Binance či Exodus. Cílí ale také na přihlašovací údaje z prohlížečů
nebo na soubory cookie, které může zneužít pro ověření na webu poskytovatele
kryptoměn,“ vysvětluje Kropáč.
V posledních měsících se škodlivý kód PSW.Agent šířil jako
cracky či warez programy různých komerčních aplikací.
Objevují se případy zneužívání jmen AI nástrojů
S ohledem na skutečnost, že škodlivé kódy pro platformu
macOS shodně napodobují celou škálu aplikací, je jedním ze způsobů ochrany
nestahovat aplikace mimo oficiální obchod společnosti Apple, App Store. V
případě infostealerů bezpečností experti upozorňují na to, že je na místě stále
větší ostražitost samotných uživatelů a uživatelek.
„Z našich analýz vyplývá, že v první polovině letošního
roku se při šíření infostealerů objevily již případy zneužití zvučných jmen
nástrojů generativní AI, které jsou populárními tématy ve veřejné debatě.
Uživatelé a uživatelky na každém rohu poslouchají, jak důležité je naučit se s
nástroji umělé inteligence pracovat co nejdříve a jak je potřeba si je osvojit
v pracovním procesu. Viděli jsme již případy, kdy útočníci vydávali malware za
napodobeniny služeb Midjourney, Sora nebo Gemini. I tyto aplikace útočníci opět
inzerují s cílem podpořit jejich šíření mezi nic netušící oběti, a to konkrétně
na sociální síti Facebook. Očekáváme, že tento trend hned tak nezmizí a
opatrnost při stahování a používání AI nástrojů je tak více než na místě,“
doplňuje Kropáč z ESETu.
Před infostelary a spywarem je účinnou ochranou bezpečnostní
software. Bezpečnostní specialisté uživatelům také doporučují dbát na
pravidelné aktualizace operačního systému zařízení a všech aplikací.
Nejčastější kybernetické hrozby v Česku a na Slovensku pro platformu macOS
v období od dubna do června 2024:
1. OSX/Adware.Pirrit
(18,31 %)
2. OSX/TrojanDownloader.Adload
(18,31 %)
3. OSX/PSW.Agent
(11,27 %)
4. OSX/Adware.Bundlore
(7,04 %)
5. OSX/TrojanProxy.Agent
(7,04 %)
Zveřejněno: 15. 07. 2024