Napadi na Mac OS (Mac OS malware)

<font 14px/Arial,Helvetica,sans-serif;;inherit;;inherit>Mac OS rijetko pati od zlonamjernih softvera ili napada virusa i smatra se manjie ranjivim od Windowsa. Međutim, sve većom rasprostranjenosti Mac OS-a, isti je sve više na meti hakera te je povećan broj pojavljivanja napada često nazivanim Mac malware. Mac malware uključuje viruse, Trojan horse, computer worm i druge vrste zlonamjernih softvera.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Rani primjeri zlonamjernog softvera macOS uključuju Leap (otkriven 2006., poznat i pod nazivom Oompa-Loompa) i RSPlug (otkriven 2007.).</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Aplikacija pod nazivom MacSweeper(2009) obmanjivala je korisnike zbog prijetnji zlonamjernim softverom kako bi uzeli podatke njihove kreditne kartice.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Trojanski MacDefender(2011) koristio je sličnu taktiku u kombinaciji s prikazivanjem skočnih prozora.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>2012. godine pojavio se crv poznat kao Flashback. U početku je zarazio računala lažnim uputama za instaliranje Adobe Flash Player-a , ali kasnije je iskoristio ranjivost u Javi kako bi se instalirao bez intervencije korisnika. Zlonamjerni softver prisilio je Oracle i Apple na objavljivanje ispravki programskih pogrešaka za Javu kako bi uklonili ranjivost.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;inherit>Bit9 i Carbon Black izvijestili su krajem 2015. godine da je Mac zlonamjerni softver te godine bio plodonosniji nego ikad prije, uključujuči:</font>

• <font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Apetit - Trojanski konj ciljan na vladine organizacije</font>
• <font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Lamadai - ranjivost Jave</font>
• <font 14px/Arial,Helvetica,sans-serif;;inherit;;inherit>Coin Thief - ukrao je vjerodajnice za prijavu bitcoina kroz probijene AngryBird aplikacije</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Trojanski trojac poznat kao Keydnap prvi put se pojavio 2016. godine.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Adware je problem i na Macu, s softverom poput Genieo, koji je objavljen 2009., umetanjem oglasa u web stranice i promjenom početne stranice i tražilice korisnika.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;#ffffff>Zlonamjerni softver se proširio i na Macove putem makronaredbi Microsoft Word.a.</font>

<font 14px/Arial,Helvetica,sans-serif;;inherit;;inherit>Ključne riječi: Mac OS, malware, virusi, zlonamjerni softveri</font>

Oompa-Loompa malware, koji se još zove i OSX/Oomp-A ili Leap.A, je virusna aplikacija koju je 14. veljače 2006. otkrila tvrtka za zaštitu Apple-a Intego. Leap se ne može širiti Internetom i može se širiti samo po lokalnoj mreži koja je dostupna putem Bonjour protokola. Kod većine mreža to znači ograničenje na jednu IP podmrežu.

Leap se širi putem iChat programa za razmjenu instant poruka kao gzip komprimirana tar datoteka pod nazivom lastpics.tgz. Da bi virus stupio na snagu, korisnik ga mora ručno pozvati otvaranjem tar datoteke i pokretanjem prerušenog izvršnog programa unutar iste.
Izvršni program je prerušen u standardnu ikonu slikovne datoteke i tvrdi da prikazuje pregled Appleovog sljedećeg OS-a. Jednom kada se pokrene, crv će pokušati zaraziti sustav. Za korisnike koji nisu administratori tražit će se lozinka računala da bi se stekla privilegija za uređivanje konfiguracije sustava. Ne inficira aplikacije na disku. Leap inficira samo Cocoa aplikacije i ne inficira aplikacije u vlasništvu sustava (uključujući one koje su unaprijed instalirane na novom računalu), već samo aplikacije u vlasništvu korisnika koji je trenutno prijavljen. Obično to znači aplikacije koje trenutni korisnik instalirao, a ne Appleov instalacijski sustav. Kada se pokrene zaražena aplikacija, Leap pokušava zaraziti četiri najkorištenije aplikacije te ukoliko te četiri ne zadovoljavaju navedene uvjete, infekcija prestaje u tom trenutku.
Jednom aktiviran, Leap se pokušava širiti putem iChat Bonjour liste korisnika. Ne širi se putem glavne iChat liste prijatelja, niti preko XMPP. Prema zadanim postavkama, iChat ne koristi Bonjour i stoga ne može prenijeti ovog crva. Leap ne briše podatke, ne špijunira sustav niti preuzima kontrolu nad njim, ali ima jedan štetan učinak: zbog greške u samom crvu, zaražena aplikacija se neće pokrenuti. Ovo je korisno jer sprečava ljude da nastave širiti zaraženi program.

Uobičajena metoda zaštite od ove vrste računalnog crva je izbjegavanje pokretanja datoteka iz nepouzdanih izvora. Najmanje jedan administrativni račun mora ostati u sustavu kako bi se instalirao softver i promijenile vitalne postavke sustava, čak i ako je račun kreiran isključivo u tu svrhu. Oporavak nakon infekcije uključuje brisanje datoteka s računalnog crva i zamjenu zaraženih aplikacija svježim kopijama. Ne zahtijeva ponovnu instalaciju OS-a, budući da su aplikacije u vlasništvu sustava imune.

RSPlug trojanski konj, oblik DNSChanger-a, je zlonamjerni softver koji cilja na Mac OS X operativni sustav. Prvu inkarnaciju trojanca, OSX.RSPlug.A, otkrili su 30. listopada 2007. istraživači Mac sigurnosti u Integu.

Nekoliko varijanti RSPlug trojanca pronađeno je prije svega na pornografskim web stranicama prerušenim u video codecs, a neke varijante uočene su na web lokacijama koje nude preuzimanja igara. Jednom kad se instalira OSX.RSPlug.A, DNS postavke sustava promijenjene su za preusmjeravanje web pretraživanja na phishing web stranice ili web stranice koje prikazuju oglase za pornografske web stranice.

Postoji i verzija OSX.RSPlug Trojan koja cilja Windows platformu, a upravo je ta verzija vodila tehničkog menadžera u F- Secureu koji je sugerirao da je grupa iza Mac Trojan-a koji se mijenja DNS- a ista grupa koja stoji iza Zloba trojanskog. Međutim, Intego je napomenuo da oni koji stoje iza trojanskog konja RSPlug zaustavljaju svoje aktivnosti prije onih koji kontroliraju zlonamjerni softver Windows, te da je vjerojatno da to nisu isti ljudi.
Kao dio Operacije Ghost Click, u studenom 2009. godine FBI je srušio “sofisticirani prsten za internetske prijevare koji je virusom zarazio milijune računala širom svijeta i omogućio lopovima manipulaciju s više milijardi dolara vrijednom industrijom internetskog oglašavanja.” FBI je procijenio da je više od četiri milijuna računala u preko 100 zemalja zaraženo DNSChanger-om. Jedna varijanta DNSChanger-a bio je trojanski konj RSPlug, koji je stvarao brojne druge varijante i zarazio mnoge Mac-ove.

MacSweeper je zlonamjerna aplikacija koja korisnike obmanjuje pretjeranim izvještajima o špijunskom softveru, adware-u ili virusima na njihovom računalu. To je prva poznata “lopovska” aplikacija za Mac OS X operativni sustav. Softver je otkrila tvrtka F-Secure u siječnju 2008. godine. Od 2009. službeno web mjesto za aplikaciju macsweeper.com je zatvoreno, kao i web stranica za KiVVi Software
MacSweeper bi se mogao preuzeti putem softverske web stranice KiVVi, kao “ drive-by” preuzimanje ili nečujno preuzeti s drugom aplikacijom. Jednom automatski instaliran, MacSweeper pregledava računalo i obavještava korisnika da su brojne aplikacije na njegovom računalu (poput iCal- a ili nadzorne ploče, sigurne unaprijed instalirane Apple-ove aplikacije) “masne kopije ili smeće” i da ih je potrebno odmah smanjiti. Kad korisnik koji ne sumnja pokuša “ukloni objekte”, kaže im da preuzeta probna inačica ne može izbrisati navodni otpad. Tada korisnik mora tvrtki dostaviti podatke o kreditnoj kartici kartici za serijski ključ doživotne pretplate za 39,99 USD.

Grafičko korisničko sučelje i ponašanje MacSweepera gotovo su identični drugom programu koji objavljuje KiVVi Software, Cleanator . Cleanator je, međutim, dizajniran za Windows operativne sustave.
Tvrtke kao što su McAfee, Symantec i Sunbelt Software prepoznale su prijetnju i na svojim web stranicama objavile upute za
uklanjanje, Intego VirusBarrier i iAntivirus su također sposobne za ukloniti ga. SiteAdvisor testovi provode se na računalima koja ne mogu prepoznati .dmg, format datoteke MacSweeper. MacSweeper je privukao veliku pozornost medija s web stranica kao što je CNET, jer se smatra jednim od prvih slučajeva zlonamjernog softvera namijenjenog operacijskom sustavu Mac OS X.

Nakon što je F-Secure upozorio Macintosh korisnike na uljeza, MacSweeper je odgovorio na web stranici F-Secure rekavši:

Želio bih objasniti svu situaciju, oko MacSweepera. Mi se stvarno trudimo napraviti dobar softver, a vi nećete pronaći bilo koji virus / špijunski softver / trojanski / zlonamjerni softver u MacSweeperu (testirajte ga sami, ako mi ne vjerujete, možete koristiti bilo koju vrstu firewall-a, dissemblera ili drugih alata). Problem je što nas partnere za prodaju prisiljavaju na upotrebu ove vrste marketinga. Željeli bismo ih napustiti, ne želimo potpuno uništiti MacSweeper aplikaciju.

Osobno obožavam Mac platformu, a boli me kad čujem da je program koji ste napisali neka vrsta “Rogue aplikacije”, ne bih želio uništiti dobre manire softvera napisanog za to: ((

…Vjerujte mi da je MacSweeper korisna aplikacija. Možete postaviti pitanja, a ja ću pokušati odgovoriti na njih!

Hvala vam! support@macsweeper.com

Mac Defender (poznat i kao Mac Protector, Mac Security, Mac Shield i FakeMacDef) je internetski sigurnosni program koji cilja računala koja rade na macOS-u. Tvrka Intego otkrila je lažni antivirusni softver 2. svibnja 2011. Softver je opisan kao prva velika prijetnja na Macintosh platformi (iako ne oštećuje nijedan dio OS X).
Prijavljena je varijanta programa poznata kao Mac Guard koja ne zahtijeva da korisnik unese lozinku za instaliranje programa, iako instalacijski program se i dalje mora pokretati.

Korisnici obično nailaze na program prilikom otvaranja slike pronađene na tražilici. Pojavljuje se kao skočni prozor koji pokazuje da su virusi otkriveni na računalu korisnika i sugerira im da preuzmu program koji, ako je instaliran, pruža osobne podatke korisnika neovlaštenim trećim stranama. Program se pojavljuje u zlonamjernim vezama na tražilicama na web stranicama kao što je Google Image Search. Kad korisnik pristupi takvoj zlonamjernoj vezi, pojavljuje se lažni prozor za skeniranje, izvorno u stilu Windows XP aplikacije, ali kasnije u obliku “sučelja tipa Apple”. Program se lažno pojavljuje za skeniranje tvrdog diska. Od korisnika se zatim traži da preuzme datoteku na kojoj je instaliran Mac Defender te da plati 59,95 do 79,95 dolara za licencu za softver.

Umjesto da štiti od virusa, Mac Defender otima korisnikov internetski preglednik kako bi prikazivao web-stranice povezane
sa pornografijom te kako bi se krao identitet korisnika (prosljeđivanjem i zlouporabom podataka o kreditnoj kartici).

Softver je praćen putem njemačkih web stranica, do ruskog internetskog plaćanja ChronoPay. Mac Defender je do ChronoPay-a praćen putem adrese e-pošte financijskog kontrolera ChronoPay Alexandra Volkova.

defence.com i macbookprotection.com, dvije web stranice Mac korisnika usmjerene su kako bi kupili sigurnosni softver. ChronoPay je najveći ruski procesor internetskih plaćanja. Web stranice su bile hostirane u Njemačkoj, a suspendirao ih je češki matičar Webpoint.name. ChronoPay je ranije bio povezan s drugom prevarom u kojoj su korisnici koji su uključeni u dijeljenje

Prema Sophosu, do 24. svibnja 2011. bilo je šezdeset tisuća poziva tehničkoj podršci AppleCare o pitanjima vezanim uz Mac Defender, a Ed Bott iz ZDNet-a izvijestio je da je broj poziva AppleCareu povećan zbog Mac Defendera i da se većina tadašnjih poziva odnosi na Mac Defender. AppleCareovim zaposlenicima rečeno je da ne pomažu pozivateljima u uklanjanju softvera. Rečeno im je da ne upućuju pozivatelje kako da koriste Force Quit i Monitor Monitor kako bi zaustavili Mac Defender, kao i da ne usmjeravaju pozivatelje u bilo kakve antivirusne programe.

Apple je izdao upute o sprječavanju i uklanjanju zlonamjernog softvera. Mac OS X sigurnosno ažuriranje 2011-003 objavljeno je 31. svibnja 2011. i uključuje ne samo automatsko uklanjanje trojana i drugih sigurnosnih ažuriranja, već i novu značajku koja automatski ažurira Appleov zlonamjerni softver.

OSX.FlashBack, također poznat kao Flashback Trojan, Fakeflash ili trojanski BackDoor. Flashback je trojanski konj koji utječe na osobna računala sa sustavom Mac OS X . Prvu varijantu Flashback-a otkrila je antivirusna tvrtka Intego u rujnu 2011. godine.

Prema ruskoj antivirusnoj tvrtki Dr. Web , modificirana verzija varijante “BackDoor.Flashback.39” Flashback Trojan zarazila je preko 600.000 Mac računala, tvoreći botnet koji je uključivao 274 robota koji se nalaze u Cupertinu, u Kaliforniji

U originalnoj varijanti upotrijebljen je lažni instalacijski program Adobe Flash Player za instaliranje zlonamjernog softvera, otuda i naziv “Flashback”. Kasnija varijanta usmjerena je na ranjivost Jave na Mac OS X. Sustav se zarazio nakon što je korisnik preusmjeren na kompromitirano lažno mjesto. Izvršna datoteka spremljena je na lokalnom računalu, koji je korišten za preuzimanje i pokretanje zlonamjernog koda s udaljene lokacije. Zlonamjerni softver se također prebacivao između različitih poslužitelja radi optimiziranog uravnoteženja opterećenja. Svaki je bot dobio jedinstveni ID koji je poslan na kontrolni poslužitelj. Međutim, trojanac bi zarazio samo korisnika koji posjećuje zaraženu web stranicu, što znači da drugi korisnici na računalu nisu bili zaraženi, osim ako njihovi korisnički računi nisu bili zaraženi zasebno.

Oracle , tvrtka koja razvija Java, riješila je ranjivost iskorištenu za instaliranje Flashback-a 14. veljače 2012. Međutim, Apple održava Mac OS X verziju Jave i nije objavio ažuriranje koje sadrži ispravku do 3. travnja 2012., nakon što je kvar već iskorišten za instaliranje Flashback-a na 600.000 Mac-ova. Ažurirano Java izdanje dostupno je samo za Mac OS X Lion i Mac OS X Snow Leopard; izdan je uslužni program za uklanjanje za Intelove verzije Mac OS X Leopardapored dva novija operativna sustava. Korisnicima starijih operativnih sustava savjetovano je da onemoguće

OSX.Keydnap je MacOS X temelji trojanski konj koji krade lozinke od iCloud Keychain. Koristi kapaljku za uspostavljanje stalnog stražnjeg prostora za vrijeme korištenja MacOS-ovih ranjivosti i sigurnosnih značajki kao što su Gatekeeper, iCloud Keychain i sustav imenovanja datoteka. Prvi su ga put otkrili početkom srpnja 2016. istraživači ESET-a, koji su i otkrili da se distribuira putem kompromitirane verzije Torrent klijenta za prijenos

OSX.Keydnap se u početku preuzima u obliku Zip arhive. Ova arhiva sadrži jednu Mach-O datoteku i Resource fork koja sadrži ikonu za izvršnu datoteku, koja je obično JPEG ili slika tekstualne datoteke. Dodatno, kapaljka koristi prednost načina na koji OS X rukuje s datotekama dodavanjem razmaka iza proširenja naziva datoteke, na primjer - kao “keydnap.jpg” umjesto “keydnap.jpg”. Obično često viđene slike i imena koriste se za iskorištavanje spremnosti korisnika da kliknu na benigne datoteke. Kada se datoteka otvori, izvršni Mach-O pokreće se u Terminalu prema zadanim postavkama umjesto preglednika slika kao što bi to korisnik očekivao.

Ovo početno izvršenje čini tri stvari. Prvo, preuzima i izvršava stražnju komponentu. Drugo, preuzima i otvara dokument s ukrašenim listovima da bi se podudarao s onim što se datoteka dropper pretvara. Konačno, napušta Terminal kako bi se prikrio da je ikada otvoren. Terminal se otvara samo na trenutak.
Budući da preuzimatelj nije uporan, preuzeta backdoor komponenta pokreće postupak nazvan “icloudsyncd” koji se izvodi u svakom trenutku. Također dodaje unos u LaunchAgents direktorij za preživljavanje ponovnih pokretanja. Proces icloudsyncd koristi se za komunikaciju s naredbom i poslužiteljem za upravljanje putem onion.to adrese.

Mac OS koristi Gatekeeper za provjeru je li aplikacija potpisana s važećim certifikatom Apple Developer ID koji sprečava pokretanje
OSX.Keydnap. Nadalje, čak i ako korisnik ima Gatekeeper isključen, vidjet će upozorenje da je aplikacija preuzeta s Interneta, a korisniku je data mogućnost da je ne izvrši. No, spakiranjem OSX.Keydnap s legitimnim ključem za potpis kao u slučaju kompromitirane aplikacije Transmission, on uspješno zaobilazi Gatekeeper zaštitu.

Aktiviranje Gatekera jednostavan je način za sprječavanje slučajne instalacije OSX.Keydnap. Ako je Mac korisniku aktiviran Gatekeeper, zlonamjerna datoteka neće se izvršiti i korisniku će se prikazati upozorenje. To je zato što je zlonamjerna Mach-O datoteka nepodpisana, što automatski aktivira upozorenje

KeRanger (poznat i kao OSX.KeRanger.A ) je ransomware trojanski konj koji cilja računala na kojima sa Mac OS-om. Otkrivio ga je Palo Alto Networks 4. ožujka 2016., a utjecao je na više od 7000 Mac korisnika.
KeRanger se na računalu žrtve instalira pomoću kompromitiranog instalatora za Transmission, popularnog BitTorrent klijenta, preuzetog sa službene web stranice. Sakriven je u .dmg datoteci pod General.rtf. .Rtf je zapravo izvršna datoteka formata Mach-O upakirana s UPX 3,91. Kada korisnici kliknu ove zaražene aplikacije, njihov paket za izvršavanje Transmission.app/Content/MacOS/Transmission će kopirati ovu datoteku General.rtf u ~ / Library / kernel_service i izvršiti “kernel_service” prije nego što se korisnik pojavi.

Dana 4. ožujka 2016., Palo Alto Networks dodao je Ransomeware.KeRanger.OSX svojoj bazi podataka o virusima. Dva dana nakon toga objavili su opis i kod. Jedini način na koji je zlonamjerni softver inficirao računalo žrtve bio je pomoću važećeg potpisa programera koji je izdao Apple, što mu je omogućilo zaobići Appleovu ugrađenu sigurnost.

KeRanger šifrira svaku datoteku (tj. Test.docx) tako što prvo kreira šifriranu verziju koja koristi .enkriptirano proširenje (tj. Test.docx.encrypted.) Za šifriranje svake datoteke, KeRanger započinje generiranjem slučajnog broja (RN) i šifrira RN s RSA ključem dohvaćenim s C2 poslužitelja pomoću RSA algoritma. Potom pohranjuje šifrirani RN na početak rezultirajuće datoteke. Zatim će generirati vektor inicijalizacije (IV) koristeći originalni sadržaj datoteke i pohraniti IV unutar rezultirajuće datoteke. Nakon toga miješat će RN i IV kako bi se generirao AES ključ za šifriranje. Na kraju, pomoću ove AES tipke za šifriranje sadržaja izvorne datoteke i upisivanje svih šifriranih podataka u rezultirajuću datoteku.

Nakon povezivanja s C2 poslužiteljem, dohvatit će ključ za šifriranje, a zatim pokrenuti postupak. Prvo će šifrirati mapu “/ Users”, a nakon toga “/ Volumes” Šifrirano je i 300 proširenja datoteka, kao što su:

• Dokumenti: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, . potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .te
• Slike: .jpg, .jpeg
• Audio i video: .mp3, .mp4, .avi, .mpg, .wav, .flac
• Arhiva: .zip, .rar., .Tar, .gzip
• Izvorni kod: .cpp, .asp, .csh, .class, .java, .lua
• Baza podataka: .db, .sql
• E-adresa: .eml
• Certifikat: .pem

Windows Registry je hijerarhijska baza podataka koja pohranjuje postavke konfiguracije u operacijskim sustavima Microsoft Windows. Sadrži postavke za komponente operativnog sustava i za programe koji rade na platformi. Kod Mac OS ne postoji Mac Registry kao kod Windows operacijskih sustava, ali ako je Windows Registry mjesto na kojem se pohranjuju postavke sustava i aplikacija, tada bi Mac ekvivalent Windows Registry bio niz .plist datoteka u nekoliko mapa na Mac-u.

Postoje dvije lokacije na kojima se nalaze zajedničke .plist datoteke sustava i aplikacija. Prva je specifična za korisnika i nalazi se na sljedećem mjestu:

''/Users/Library/Preferences
''

Druga lokacija se nalazi u korijenu sustava:

''/Library/Preferences/''

U ovim mapama može se uočiti velik broj datoteka s popisima koji slijede obrnutu konvenciju o nazivu domene (npr. com.apple.sample). Pojedini primjeri plist datoteka za konfiguraciju sustava izgledaju ovako:

''com.apple.ActivityMonitor.plist
com.apple.AddressBook.plist
com.apple.finder.plist
com.apple.preference.general.plist
com.apple.TextEdit.plist
com.apple.Safari.plist''

U istoj mapi nalaze se plist datoteke povezane s instaliranim aplikacijama u sustavu.

''com.apple.dt.Xcode.plist
com.google.Chrome.plist
org.herf.Flux.plist
com.skype.skype.plist''

Ukoliko se konfiguracijske plist datoteke sustava i aplikacija otvore u programu za uređivanje teksta (Notepad, Text Editor), primjetit ćemo da su mnoge od njih u binarnom formatu što je izazov za čitanje i razumijevanje, a kamoli za uređivanje. Ove datoteke se čitaju tako da se u OS X Terminal upiše sljedeće (za primjer gore navedenih plist datoteka):

''defaults read com.apple.finder''

Primjer naredbe za čitanje svih ekstenzija:

''defaults read com.apple.finder AppleShowAllExtensions''

Baš kao što izmjena Windows Registry-a može poremetiti sustav, tako treba biti oprezan kod izmjene plist postavki sustava ili aplikacija. Većina postavki se može mijenjati navigacijom do korisničkog sučelja aplikacije ili sustava i ručnom promjenom postavki.

Ažuriranje Finder-a za prikaz proširenja datoteka u OS X Terminalu:

''defaults write com.apple.finder AppleShowAllExtensions -boolean true''

Appleov Mac OS operativni sustav je do sada bio poznat kao gotovo imun na bilo kakvu vrstu virusa, malware, spywarea i ostalih “nametnika”. Pogotovo ako se uspoređuje s Microsoft Windows operativnim sustavom, koji je daleko popularniji, rasprostranjeniji i logično “primamljiviji” svima onima kojima je način života inficiranje računala i računalnih sustava malicioznim kodom. Ali, vremena se očigledno mijenjaju, pa tako ni Mac OS X više nije sigurna luka kada je u pitanju maliciozni softver…

Prvi “ransomware” napad na Mac OS X otkriven je od strane sigurnosne tvrtke Palo Alto Networks, koja je objavila kako je aplikacija Transmission zaražena malicioznim softverom. “Ransomware” je inače način napada računala kojim se, pojednostavljeno rečeno, kriptiraju podaci na korisnikovom hard disku, a da bi ih se “otključalo”, napadači traže otkupninu. Posljednji takav napad u kojem je plaćena pozamašna otkupnina u iznosu od čak 17 tisuća američkih dolara zabilježen je nedavno kada su “ransomware” napadom “hakeri” “oteli” računalni sustav jedne bolnice u Hollywoodu o čemu smo također pisali.

Transmission aplikacija za Mac OS X zaražena je takozvanim “KeRangerom” koji se na računalo instalira zajedno s “matičnom” aplikacijom i nakon aktivacije kriptira sve podatke što dovodi do toga da je računalo potpuno neupotrebljivo. Neimenovani pojedinac kojem je “oteto” Appleovo računalo morao je platiti nešto više od 400 USD da bi mu “hakeri” omogućili pristup podacima. Na službenoj web stranici Transmission aplikacije, koja je zapravo BitTorrent klijent objavljeno je kako su svi korisnici koji imaju instaliranu verziju 2.90 ili 2.91 potencijalno u opasnosti i savjetuje se da odmah instaliraju verziju 2.92 koja je “očišćena” od malicioznog softvera.

Iz Applea za sada nisu komentirali ovu objavu, a jedini način borbe s “ransomware” napadom, osim plaćanja otkupnine, je dnevni backup podataka.

1. Intego Analysis - OSX/Leap.A aka OSX/Oompa-Loompa
2. Macworld- Mac Security: Antivirus
3. INTEGO SECURITY ALERT - October 31, 2007//
4. Apple Delays, Hackers Play
5. "Mac malware OSX.Keydnap steals keychain"
6. "New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer - Palo Alto Networks Blog"