Mac OS X вече не е безопасно: епидемията от Crapware / Malware е започнала

2024 Автор: Geoffrey Carr | [email protected]. Последно модифициран: 2023-12-17 11:00

Потребителите на OS X обичат да се забавляват на потребителите на Windows като единствените, които имат проблем със злонамерен софтуер. Но това просто не е вярно и проблемът се е увеличил драматично през последните няколко месеца. Присъединете се към нас, докато излагаме истината за това, което наистина се случва и надяваме се да предупредим хората за предстоящата гибел.

Тъй като всъщност е Unix под капака, OS X има известна защита срещу най-лошите вируси. Но проблемът в наши дни не е вируси, които напълно нарушават компютъра ви, а това са шпионски софтуер, crapware и рекламен софтуер, които се промъкват в компютъра ви, отвличат вашия браузър, вмъкват реклами и проследяват това, което гледате. И голяма част от това е законно, защото вие сте подмамени да кликнете погрешно нещо по време на монтажник.

И сега сайтове за изтегляне, фалшиви реклами за софтуер на търсачките и скитнически приложения обединяват рекламни и crapware инсталатори за легитимен софтуер. Не можете просто да предположите, че вече сте в безопасност, защото сте на OS X. Трябва да внимавате какво да изтеглите и какво кликвате.

Ако не мислите, че това е голяма работа, помислете отново. Тези части от рекламен софтуер се вмъкват директно в браузъра и те се анализират и работят дори на защитени сайтове, като вашата банка, сайт за кредитни карти и имейли, изпращайки данни на сървърите си. Те не използват HTTPS отвличане на прокси доста от това, което можем да кажем по време на нашето изследване, но това е само въпрос на време, а може би вече го правят и все още не сме открили доказателството.

Тъй като ние сме предимно потребители на Mac, сами тук в "How-To Geek", ние се надяваме, че Apple ще вземе различна тактика с този проблем, отколкото Microsoft има с Windows и не позволява на тези измамни изпълнители да унищожат платформата си.

Пакетът Crapware за OS X става все по-лош всеки ден

Не беше толкова отдавна, че можете да инсталирате почти всичко за OS X от почти всеки уебсайт и не трябваше да се притеснявате за това, на което сте кликнали. Това просто не е вярно вече, и докато нещата са по-добри от тези на Windows, това е въпрос на време само в този момент.

Все още имате безопасен източник на софтуер за Mac App Store, но проблемът е, че не всички продавачи продават своя софтуер през App Store и много от тях продават по-стари версии там и имат най-новата версия на собствения си уеб сайт. Ако се придържате към App Store, нямате какво да се притеснявате. Бихме се радвали да видим Apple да поправи някои от проблемите в App Store и да накара всички да го използват.

Подобно на Windows, не е нужно да търсите по-далеч от CNET за изтегляне, за да намерите пакета crapware … дори за Mac. Точно така, те са преминали през платформата с тези глупости. И те са направили това още по-лошо, защото имате или бутон за инсталиране или бутон за затваряне. Дори няма спад! Когато кликнете върху Затваряне, инсталаторът се изключва изцяло. Така че вие или имате групирани crapware, които отвличат вашия браузър, или не можете да инсталирате това приложение.

Този на екранното изображение инсталира Spigot и куп други глупости, които пренасочват браузъра ви към Yahoo, инсталира куп нежелани приставки и като цяло прави летящия спагети чудовищен плач. Удивително е колко пари Yahoo трябва да потъне в тези неща, за да отвлече браузъра ви към търсещата си машина … когато това дори не е тяхна. Yahoo Search наистина е само ребрандирана версия на Бинг. Добре.

Леле мале! На следващия екран инсталаторът най-накрая ви позволява да отхвърлите нещо отново! Може би нещо в екранната снимка е толкова лошо, дори CNET Downloads не иска да ви насилва. Не е добър знак.

Разбира се, не става въпрос само за свалянето на CNET за изтегляне - открихме, че много други приложения се разпространяват на безплатни сайтове за изтегляне, които правят свои собствени групиране. Например, YTD, който зарежда HTTPS-adware за отвличане на HTTPS за Windows, има версия на Mac. И те също обединяват Spigot. Искаш ли нещо за торент? Защо не изтеглите uTorrent от техния уебсайт? Изглежда, че хората обичат да използват това. Ох.

Проблемът получава много, много по-зле, когато се опитвате да търсите безплатна програма, използвайки любимата си търсачка. Струва си да се отбележи, че Google едва наскоро започна да се опитва да забрани пакета crapware от своите резултати и реклами, но за съжаление Yahoo и Bing нямат същото ниво на страхотно. Всъщност те са просто ужасни.

Ако сте обикновен, обикновен потребител и търсите Yahoo за "vlc download", ще ви бъде представено нещо, което изглежда като следващата екранна снимка. И всяко нещо на страницата всъщност е линк към пакетен софтуер за инсталиране на crapware за VLC и почти всички от тях са платформени и работят на OS X. И текстът, който казва "ad", е почти невидим.

Когато нищо неподозиращите потребители се опитат да използват някой от тези инсталатори, те ще бъдат представени с екран, подобен на този … който инсталира интуицията на InstallMac, която отвлича всичко и поставя рекламен софтуер във вашата система - това е ужасно. И, разбира се, следващият екран се опитва да ви накара да инсталирате нещо, което не ви е нужно. И после нещо друго. Това е толкова чудовище.

Намерихме много повече софтуер, който се обслужва по този начин, с тон инсталатори от почти всяка пакетна компания за монтаж на crapware. Ето инсталационна обвивка за OpenOffice, снабдена с наистина зловещо парче рекламен софтуер, който просто поема вашия браузър. Да, търсихме Yahoo отново за OpenOffice и кликнали върху това, което действително смятахме за истински сайт, защото техният текст "реклама" беше толкова малък, че не можехме да различим разликата. И това е, което дойде.

Предстои да стане епидемия за потребителите на Mac. Какво трябва да очакваме с нетърпение?

Adware и Malware на OS X е почти толкова ужасно, колкото и на Windows

Когато успеете да се заразите с нещо, повечето от рекламните програми, злонамерения софтуер и шпионския софтуер на OS X ще се опитат да заразят браузъра ви по някакъв начин, като отвлекат нови страници, търсене и начални страници, инжектират реклами на страници и произволно изскачащи до неприятни известия за техническа поддръжка. Повечето от тях няма да изтрият твърдия ви диск или нещо наистина ужасно … но въз основа на нарастващата изтънченост, която виждаме, това е само въпрос на време.

Много от тези похитители на браузъри ще вмъкнат реклами, които изскачат съобщения, които не могат да бъдат отхвърлени независимо от това, което правите, както можете да видите на екранната снимка по-горе. И те ще се показват на случаен принцип през цялото време, докато разглеждате, и трябва да CMD + Q да затвори приложението изцяло, за да се отърве от тях. По същество вашият браузър става напълно безполезен.

Най-простият рекламен софтуер ще се инсталира в браузъра ви като разширение и ще нулира всички страници, за да премине през ужасната си ужасна търсачка. И с това ние най-вече означаваме Yahoo … но има и други, като searchmoose, search-quick и searchbenny, които използват свои собствени фалшиви търсачки. Няколко от тях ще ви пренасочат към Бинг, но никога директно. Винаги е чрез посредник като Трови.

Повечето от рекламите, които се инжектират, ще се опитат да ви подмамят да инсталирате още повече реклами, като използвате фалшиви съобщения за приставки на Java или съобщения, които ви казват да инсталирате кодек или нова версия на Flash. Всички те са фалшиви, разбира се, и просто ще инсталирате още компютри и злонамерен софтуер на компютъра си. Всеки от време на време един от тях ще се опита да обслужва част от рекламния софтуер на Windows, но в по-голямата си част те са достатъчно умни, за да знаят, че сте потребител на Mac и да сервирате подходящото парче бисквитки.

Много рекламен софтуер ще пренасочи търсещата ви машина към фалшива търсачка, която изглежда много като Google или Bing, но всички резултати не са нищо друго освен реклами.

И тогава тя случайно ще започне да говори с вас. Буквално. Той възпроизвежда аудио реклами през високоговорителите ви. Чухме реклама за Northrup Grumman. Колко лудо е това? (Сигурни сме, че не знаят за това.)

Току-що показахме някои от досадните реклами, но голяма част от пакетите са доста неприятни неща и почти всеки един от тях, който намерихме, и почти всяка рекламна реклама се опита да ни инсталира MacKeeper. Не знаем много за това, въпреки че планираме да разгледаме как работи, защото тези тактики са съмнителни.

Най-голямата тенденция, която сме забелязали в рекламата, е, че почти всичко се опитва да пренасочи браузъра и търсещата ви машина към Yahoo. Някой там в Yahoo трябва да бъде уволнен.

Копаят по-дълбоко: Как част от този злонамерен софтуер всъщност работи

Простият рекламен софтуер работи по начина, по който най-много рекламен софтуер прави, като се инсталира в разширенията на Safari, което е доста лесно да се деинсталира. Проблемът е, че само няколко елемента от реклами са работили по този начин в нашите изследвания.

Цялото отвличане на търсачката, пренасочването на начална страница и разширенията за инжектиране на реклами са едно. По-големият проблем е сериозният злонамерен софтуер, който се инсталира дълбоко в операционната система и средният човек никога няма да може да го премахне. Няма деинсталатор, няма стартова точка, няма браузъри, разширения или каквото и да е друго, което изглежда да е инсталирано.

Това, което има, обаче, са наистина ужасни реклами, инжектирани във всичко, което правите, правейки компютъра по-бавен от мръсотията. Търсещата ви машина ще бъде отвлечена и е възможно браузърът ви да бъде препратен чрез прокси сървър. Това е напълно злонамерен софтуер, не е просто рекламен софтуер, дори ако случайно сте забравили да махнете отметката някъде. Работи по същия начин, по който зловреден софтуер Trovi прави в Windows, като се инжектира в процеси.

Тези по-сериозни части от злонамерен софтуер се инсталират като демон или услуга, която работи на заден план и зад кулисите. Можете да намерите тези неща в / Library / LaunchAgents или / Library / LaunchDaemons папка, която ще има някои наистина странни изглеждащи елементи, които просто не принадлежат. Тази папка може да се използва и за реални неща от реални приложения, така че не изчиствайте тази папка изцяло или нищо.

Проверката на файла с пластинки ще ви покаже къде живее действителният злонамерен софтуер, който обикновено е в напълно отделна папка.

Когато влезете в тази папка и разгледате файла Version.plist, ще получите още информация за това, което всъщност се случва. Това нещо се нарича Search-Quick и поддържа подвеждането на Chrome и Safari, както и нощното изграждане на Webkit по някаква причина.

Разглеждането допълнително идва с нещо любопитно … човекът, който е написал този злонамерен софтуер, искаше да даде специални благодарности на майка си.

След като зловреден софтуер се стартира от OS X като демон, той използва малко известна част от функционалността в OS X, която позволява на един процес да се инжектира в друг процес.Можете да видите как работи, като отворите терминал и директно изпълнявате изпълнимия агент. Това, което всъщност се случва, е, че ще се прикрепи към уеб браузъра ви и ще се зареди като скрито разширение. В екранната снимка по-долу можете да видите, че тя е активирана за процес ID 544, който е бил Google Chrome. Това ще направи същото и за Safari, ако е отворено.

Това означава, че се изпълнява рекламен или злонамерен софтуер вътре на вашия уеб браузър, инжектирайки се във всяка страница, която посещавате. Няма значение дали посещавате защитена банкова зона или не, те вече са вътре. Една от нежеланите ефекти на този злонамерен софтуер е, че целият ви компютър ще бъде изключително бавен през цялото време, без значение какво правите.

За някои съвети за премахване на рекламни и злонамерен софтуер в OS X можете да прочетете документа за поддръжка на Apple или просто да изчакате предстоящите ни статии по темата. Ще направим много повече проучване на всички тези неща.

И така, какво означава всичко това и как се предпазвате?

Въпреки че показахме, че злонамереният софтуер, рекламите, crapware и spyware става все по-зле в OS X, това не означава, че непременно трябва да се притеснявате или да излизате, да инсталирате Linux или да направите нещо драстично. OS X все още не е насочена толкова, колкото и Windows, а все още съществуват някои мерки за сигурност, които затрудняват достъпа на зловреден софтуер.

Най-сигурното нещо, което можете да направите, е да използвате Mac App Store, за да инсталирате приложенията си, когато е възможно. Тези приложения са потвърдени от Apple и трябва да бъдат добре пригодени за употреба и определено няма да идват с никакви пакетни crapware или adware.

Ограничете приложенията, които не са от App Store

Това няма да реши проблема, но можете да конфигурирате OS X да ограничава автоматично всички изпълними файлове, които не идват от App Store. Това няма да се прилага за вече инсталирани на компютъра ви приложения, независимо откъде идват. То просто ще важи за нови изтегляния.

Преминете към системните предпочитания -> Сигурност и поверителност, кликнете върху иконата за заключване в долната част и след това я преместете в Mac App Store вместо стандартната.

След като направите това, опитвайки се да стартирате нещо, което не е в App Store, автоматично ще покаже блок съобщение. Можете да изберете да го отворите, ако щракнете с десния бутон на мишката и изберете Отвори и след това Отворете отново, но по подразбиране всичко е блокирано.

Това не решава проблема с приложенията, които виеправяискате да инсталирате като имате пакетно crapware, което изисква изключване по подразбиране. Но това е страхотна настройка за сигурност за вашите близки.

Когато се налага да инсталирате приложение от другаде, уверете се, че той наистина е надежден източник, а не фалшив сайт, който обслужва безплатния софтуер с отворен код с обвивка на пакети.

Също така трябва да обмислите да деактивирате приставките на браузъра си - за Chrome и Firefox, това е доста лесно, за Safari това е малко по-сложно. Най-голямото нещо, което можете да направите, е да деактивирате приставката си за Java, защото е много рядко за вас да се нуждаете от това и защото Java е причината за 91% от атаките през 2013 г. Това ще намали вероятността ви да бъде насочена с атака с нулев ден.

Дори може да е време да започнете да разглеждате антивирус за OS X, поне ако искате да инсталирате много софтуер от източници извън App Store. Ако не го направите, вероятно това не е толкова голямо споразумение, но се приближаваме до точката, от която ще е необходимо. Това, което все още не е съвсем сигурно, е това, което антивирусът за Mac дори заслужава, и блокира този тип неща - на Windows, повечето антивируси не блокират изобщо нищо, тъй като са законни, тъй като трябваше да се споразумеете по време на инсталирате процес. Така че не просто плащайте за антивирус в момента. Просто го имайте предвид в бъдеще.

Освен това, бъдете внимателни при това, върху което кликнете, и не вярвате на съобщенията за грешка, които се появяват в прозореца на вашия уеб браузър. Ако видите нещо, което казва, че компютърът ви е заразен и извади съобщение, задръжте натиснат клавишната комбинация CMD + Q, за да затворите всичко незабавно.

Няма по-добро време потребителите на Windows да преминат към Mac. С това много crapware и adware се развиват, те ще се чувстват като у дома! (Разбира се, шегуваме се.)