SSL信息
上周,某安全研究员在其推特中爆料称,某恶意软件家族正山寨赛门铁克博客散播各种OSX.Proton密码窃取器。
据Malwarebytes博文报道,该恶意软件家族从今年三月份起存在感极强,已通过被攻破的Handbrake应用程序和Ellmedia软件程序成功扩散至各种设备。
研究人员说,域名上的注册信息乍一看似乎是合法的,因为它使用与真正的赛门铁克网站相同的名称和地址,但用于注册域名的电子邮件地址却已不复存在,使用的合法SSL证书还居然是由Comodo发行,而不是由赛门铁克自己的证书颁发机构颁发。
假冒网站本身在模仿赛门铁克网站方面也做得很好,甚至还包括了相同的内容,虽然它包含了一个关于所谓的CoinThief新版本的虚构博客文章。 这个假冒的故事推出了一个名为“赛门铁克恶意软件探测器”的程序,据说是为了检测和删除实际上不存在的恶意软件,并敦促用户下载。
Symantec恶意软件检测程序也是一个不存在的组成产品。 链接到虚假的帖子也被传播到推特上,许多推特似乎都是伪造的帐户,而其他人似乎是合法的。
研究人员发现,由于该恶意软件旨在偷密码,因此合法帐户可能是通过使用恶意软件窃取密码的帐户。
“赛门铁克恶意软件检测器实际上是OSX.Proton恶意软件,它以明文形式窃取用户的管理员密码以及其他个人身份信息,以及捕获和泄露诸如钥匙串文件,浏览器自动填充数据,1Password保险箱, 和GPG密码。
当用户试图运行伪应用程序时,“它显示一个非常简单的窗口,使用Symantec徽标:提示用户单击一个“检查”按钮,然后提示用户输入他们的管理员密码,然后如果他们输入密码 ,随即安装恶意软件。
研究人员还指出,如果用户退出该应用而不去点“检查”键的话就不会被安装恶意软件。但由于该软件做得过于真实,基本人人都中招了。
当用户不确定他们是否下载了正确的应用程序时,应该检查应用程序的代码签名,看是否已经由名为Sverre Huseby的人员使用E224M7K47W团队标识符的证书签名。 研究人员补充说,任何有这个证书的东西都应该被视为恶意的。
该恶意软件可通过杀毒软件清除,但用户应及时修改所有在线密码,不可掉以轻心。
“我们可以证实symantecblog.com及symanteceurengine.com都是假的!",一位赛门铁克发言人说道。”我们已立即采取措施将这两个网站移除,目前为止symantecblog.com已下线。“
稿源:SC Magazine