Mac Defender
Mac Defender (även känd som Mac Protector , Mac Security , Mac Guard , Mac Shield och FakeMacDef ) är ett falskt internetsäkerhetsprogram som riktar sig mot datorer som kör macOS . Mac-säkerhetsföretaget Intego upptäckte det falska antivirusprogrammet den 2 maj 2011, med en patch som inte tillhandahålls av Apple förrän den 31 maj. Programvaran har beskrivits som det första stora skadliga hotet mot Macintosh-plattformen (även om den inte fäster eller skadar någon del av OS X). Det är dock inte den första Mac-specifika trojanen och är inte självförökande.
En variant av programmet, känd som Mac Guard, har rapporterats som inte kräver att användaren anger ett lösenord för att installera programmet, även om man fortfarande måste köra installationsprogrammet.
Symtom
Användare möter vanligtvis programmet när de öppnar en bild som hittas på en sökmotor. Det visas som ett popup-fönster som indikerar att virus har upptäckts på användarnas dator och föreslår att de laddar ner ett program som, om det är installerat, ger användarnas personliga information till obehöriga tredje parter.
Programmet visas i skadliga länkar som sprids av sökmotoroptimeringsförgiftning på sajter som Google Image Search . När en användare kommer åt en sådan skadlig länk visas ett falskt skanningsfönster, ursprungligen i stil med ett Windows XP- program, men senare i form av ett "Apple-typ-gränssnitt". Programmet verkar felaktigt skanna systemets hårddisk. Användaren uppmanas sedan att ladda ner en fil som installerar Mac Defender och ombeds sedan betala 59,95 USD till 79,95 USD för en licens för programvaran. Istället för att skydda mot virus, kapar Mac Defender användarens webbläsare för att visa webbplatser relaterade till pornografi och utsätter även användaren för identitetsstöld (genom att skicka kreditkortsinformation till krackaren). En nyare variant installerar sig själv utan att användaren behöver ange ett lösenord. Alla varianter kräver att användaren aktivt klickar sig igenom ett installationsprogram för att slutföra installationen även om ett lösenord inte krävs.
Ursprung
Programvaran har spårats via tyska webbplatser, som har stängts, till den ryska onlinebetalningen ChronoPay . Mac Defender spårades till ChronoPay av e-postadressen till ChronoPays finanskontrollant Alexandra Volkova. E-postadressen dök upp i domänregistreringen för mac-defence.com och macbookprotection.com, två webbplatser som Mac-användare hänvisas till för att köpa säkerhetsprogramvaran. ChronoPay är Rysslands största onlinebetalningsprocessor. Webbplatserna var värd i Tyskland och stängdes av den tjeckiska registratorn Webpoint.name. ChronoPay hade tidigare kopplats till en annan bluff där användare inblandade i fildelning ombads betala böter.
Apples svar
Enligt Sophos hade det den 24 maj 2011 varit sextio tusen samtal till AppleCares tekniska support om Mac Defender-relaterade problem, och Ed Bott från ZDNet rapporterade att antalet samtal till AppleCare ökade i volym på grund av Mac Defender och att en majoriteten av samtalen vid den tiden gällde Mac Defender. AppleCare-anställda blev tillsagda att inte hjälpa uppringare att ta bort programvaran. Specifikt uppmanades supportanställda att inte instruera uppringare om hur man använder Force Quit och Activity Monitor för att stoppa Mac Defender, samt att inte dirigera uppringare till några diskussioner som rör problemen orsakade av Mac Defender. En anonym AppleCare-supportanställd sa att Apple instiftade policyn för att förhindra att användare förlitar sig på teknisk support istället för antivirusprogram.
AppleCare-anställda blev tillsagda att inte hjälpa uppringare att ta bort programvaran, men Apple lovade senare en programvarukorrigering. Den 24 maj 2011 utfärdade Apple instruktioner om att förhindra och ta bort skadlig programvara. Mac OS X-säkerhetsuppdateringen 2011-003 släpptes den 31 maj 2011 och inkluderar inte bara en automatisk borttagning av trojanen och andra säkerhetsuppdateringar, utan en ny funktion som automatiskt uppdaterar definitioner av skadlig programvara från Apple .
Se även