Mac的恶意软件的一个著名家族的新版本利用漏洞在Java中窃取用户名和密码进行网上支付,银行和信用卡网站。
Flashback.G就是木马使用,不需要任何用户交互的攻击向量的第一个变种,Intego公司保安,一家法国公司,专门的Mac反病毒软件说。大多数Mac恶意软件需要从用户的帮助通过输入系统密码来获得一台机器上,如果只是没事的安装。
当用户遇到来自未知恶意网站的新恶意软件时,就会闪回。G首先尝试利用两个Java bug,一个追溯到2008年,另一个是去年发现的。
苹果在其Java更新中修补了这两个漏洞,修复了最近发布的Java安全更新中的2011年漏洞去年11月。
虽然苹果不再包Oracle的Java使用的Mac操作系统 - 它停止这种做法与OS X 10.7,又名狮子,在2011年7月 - 它继续发布Java的安全更新,以狮跑以及Mac OS X 10.6的人,更好地称为雪豹。即使它不来与狮子,Java的可能是这些系统:会提示用户安装Oracle软件他们第一次尝试运行Java applet。
如果闪回。没有成功,因为这两个漏洞都被堵上了,或者如果Mac电脑上没有Java,恶意软件就会采取一种备份策略,它会伪装成苹果数字签名的内容,欺骗用户运行攻击代码。
当然,这个恶意软件并不是由苹果公司签署的,尽管有一个警告告诉潜在的受害者“这个根证书不可信”,一些人可能会忽略这个警告并点击“继续”,安装Flashback.G。
“我不想给(黑客)过多的赞扬,但是(闪回)。Intego的发言人彼得·詹姆斯(Peter James)说。“Java漏洞[方法]不需要用户交互,而且他们把受害者放入一个过滤器,”他补充说,指的是社会工程风格的假证书策略,只有在Mac是不受Java攻击的情况下才使用。
一旦它进入Mac,闪回。下载更多恶意代码——一个关键记录器——嗅出登录PayPal、银行和信用卡网站时使用的用户名和密码。它将找到的信息传输到黑客操作的命令控制服务器上。
恶意软件监控的域名列表还包括非金融网站,如CNN.com,詹姆斯说,这也许是一个线索,攻击者在寻找他们可以用来访问其他账户的凭据。
用户通常依赖一个用户名/密码组合来访问多个网站,如果凭证被盗,这是一种危险的做法。
如果闪回。G无法利用两个Java漏洞进入Mac电脑,它试图通过提供一个假数字证书来欺骗用户手动安装恶意软件。(图片:Intego。)
詹姆斯说,感染人数明显少于2011年“Mac卫士”恶意软件运动,但表示Intego已经捕获了多个样本,并监测了几个用户报告感染的支持论坛。
根据Intego分析,Flashback.G攻击内喷射代码到Web浏览器和其他应用程序访问互联网。在某些情况下,代码会导致程序崩溃。
Flashback.G安装了自己在“/用户/共享”文件夹下的各种名目的一种无形的文件,所有这些都与扩展名“所以,”詹姆斯说。
苹果网站上的一些报道援引了这一说法使用Skype时出现意外错误,并张贴崩溃日志结果,詹姆斯说,表示的Flashback.G感染。
詹姆斯说:“虽然很多人在mac电脑上不使用Java,但他们可能甚至不知道自己有。”他把网络会议软件GoToMeeting称为一个需要Java运行时的程序,并因此提示Mac用户安装它。
Mac用户可以决定他们的机器安装了Java通过访问一些网站之一,包括这个,或者从Applications文件夹中的Utilities文件夹中启动Terminal,然后输入不带引号的“java -version”。
如果Java不在Mac上,就会出现版本号,或者提示“不支持Java运行时,请求安装”。
苹果还没有更新Mac OS X的最简单的反恶意软件工具来检测闪回。
格雷格·凯泽涵盖微软,安全问题,苹果,Web浏览器和通用技术重大新闻的计算机世界。按照格雷格在Twitter上@gkeizer,在Google +或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
看到更多信息由Gregg Keizer在Computerworld.com上发布。
阅读更多关于恶意软件和漏洞在计算机世界的恶意软件和漏洞的话题中心。
这个故事,“新的Mac恶意软件利用Java漏洞,窃取密码”最初发表于《计算机世界》 。