Зловмисники не втомлюються винаходити нові способи поширення шкідливого ПЗ, які не викликають підозри у користувачів. Експерти компанії Malwarebytes виявили кампанію, в рамках якої кіберзлочинці розповсюджують нову версію шкідливості Proton для macOS через підроблений блог Symantec. Symantecblog[.]com є чудовою імітацією ресурсу компанії і навіть містить контент з оригінального блогу, зокрема, публікацію про свіжу версію трояна CoinThief, що пропонує додаток Symantec Malware Detector, який насправді інфікує комп'ютери користувачів шкідливим програмним забезпеченням Proton.

Домен та адреса фальшивого ресурсу виглядають як легітимні, проте електронна адреса викликає підозри. До того ж, сайт використовує SSL-сертифікат Comodo замість виданого посвідчувальним центром Symantec. Посилання на блог розповсюджуються як через «ліві», так і легітимні облікові записи в Twitter. Як вважають експерти, організатор компанії міг отримати доступ до облікових записів за допомогою крадених логінів та паролів або обманом змусити користувачів просувати посилання на підроблений ресурс.

Під час запуску Symantec Malware Detector демонструє простий інтерфейс з логотипом Symantec та проханням авторизуватися нібито для перевірки системи. Якщо користувач закриє вікно на цьому етапі, інфікування не відбудеться, інакше на його комп'ютер буде встановлено шкідливе програмне забезпечення. Опинившись на системі, Proton приступає до збору різних даних, у тому числі паролів, персонально ідентифікованої інформації, файлів .keychain, даних автозаповнення в браузері, вмісту менеджера 1Password та ін. папці.

Фахівці проінформували Apple про проблему, і компанія вже відкликала сертифікат, що використовується для цифрового підпису шкідливої ​​програми. Цей запобіжний засіб запобігатиме випадкам інфікування через Symantec Malware Detector у майбутньому, проте не допоможе користувачам, чиї пристрої вже були заражені Proton. Після видалення шкоди з комп'ютера експерти рекомендують користувачам змінити всі облікові дані.