В ходе анализа различных осколков примечательного похитителя macOS исследователи безопасности из Moonlock обнаружили один из них с тревожным уровнем сложности. Под видом неизданной видеоигры GTA6 после установки вредоносная программа применяет довольно хитрые методы для извлечения конфиденциальной информации, такой как пароли, из локальной связки ключей пользователя.
В типичном Укус безопасности fashion, вот разбивка: как это работает и как оставаться в безопасности.
9to5Mac Security Bite эксклюзивно предоставлен вам Mosyle, единственная унифицированная платформа Apple. Все, что мы делаем, — это обеспечить готовность устройств Apple к работе и безопасность на предприятии. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе самые современные решения безопасности Apple для полностью автоматизированной защиты и соответствия требованиям, EDR нового поколения, нулевого доверия на базе искусственного интеллекта и эксклюзивного управления привилегиями с самой мощной и современной Apple MDM. в продаже. Результатом стала полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, которая позволяет без усилий и по доступной цене обеспечить готовность к работе миллионов устройств Apple. Запросите РАСШИРЕННУЮ ПРОБНУЮ ПРОБНУЮ ВЕРСИЮ сегодня и поймете, почему Mosyle — это все, что вам нужно для работы с Apple.
Как я сообщал в предыдущем выпуске Укус безопасностиПопулярность вредоносных программ, специально созданных для macOS, продолжает расти по мере роста популярности Mac. В прошлом году в дикой природе было обнаружено 21 новое семейство вредоносных программ, что на 50% больше, чем в 2022 году.
Несмотря на это, до сих пор существует распространенное заблуждение, что злоумышленники не нацелены на компьютеры Apple. Хотя это, возможно, и было правдой в прошлом, сегодня это определенно не так. Мало того, что число атак вредоносных программ увеличивается, они также становятся более изощренными, чем когда-либо.
Как это работает
В ходе анализа Moonlock, подразделение кибербезопасности MacPaw, обнаружило, что новый образец вредоносного ПО представляет собой вариант программы для кражи паролей (PSW), типа вредоносного трояна, предназначенного для сбора логинов и паролей с зараженных компьютеров и отправки их обратно злоумышленнику. через удаленное соединение или электронную почту.
Исследователи обнаружили, что вредоносное ПО маскируется под копию GTA6 или пиратскую версию Notion. Это распространенный прием социальной инженерии, который использует доверие, используя знакомую терминологию, чтобы обманом заставить пользователей загрузить вредоносное ПО.
Примечательно, что на всех компьютерах Mac установлена версия macOS Gatekeeper, которая работает в фоновом режиме и не позволяет пользователям загружать из Интернета неподписанные приложения, которые могут содержать вредоносное ПО. Однако пользователь может обойти эту функцию безопасности, просто щелкнув правой кнопкой мыши файл DMG и нажав «Открыть». Киберпреступники используют эту простоту, добавляя графические инструкции пользователю, как открыть вредоносный файл.
После выполнения DMG запускает файл Mach-O с именем AppleApp.
«Впоследствии AppleApp инициирует запрос GET на определенный URL-адрес, исходящий с российского IP-адреса. Если соединение установлено успешно, программа начнет загружать частично запутанную полезную нагрузку AppleScript и Bash. Эта полезная нагрузка выполняется непосредственно из памяти приложения, минуя файловую систему», — заявил Мунлок в своем блоге о результатах.
При выполнении полезная нагрузка использует многогранный подход для достижения своих вредоносных целей. В этом порядке:
- Фишинг для получения учетных данных
- Нацеливание на конфиденциальные данные
- Профилирование системы
- Эксфильтрация данных
Поскольку доступ к локальной базе данных «Связки ключей» возможен только с использованием системного пароля пользователя, вредоносная программа использует второй хитрый прием. Он разворачивает фальшивое окно установки вспомогательного приложения, еще больше эксплуатируя доверие и обманом заставляя пользователя раскрыть свой пароль.
Вредоносное ПО теперь начинает атаковать базы данных Keychain и многие другие источники конфиденциальных данных.
«Вредоносная программа с высокой точностью обыскивает системные каталоги в поисках ценных данных, таких как файлы cookie, история форм и учетные данные для входа в популярные веб-браузеры, включая Chrome, Firefox, Brave, Edge, Opera и OperaGX. Кроме того, он ищет список последних серверов в FileZilla, базах данных macOS Keychain и кошельках криптовалют».
Более того, используя более сложные сценарии AppleScript, вредоносная программа создает секретную папку в домашних каталогах пользователей. Здесь все собранные логины, пароли и ключи хранятся в ожидании извлечения из зараженной системы на внешний сервер, контролируемый киберпреступником.
Как обезопасить себя от воров macOS
Хотя лишь около 6% всех вредоносных программ нацелены на пользователей Mac, злоумышленники сейчас активно нацелены на macOS больше, чем когда-либо. Важно сохранять бдительность и продолжать использовать обычные Интернет-умные способности.
Хотя вы, возможно, уже знаете многие из этих советов, я думаю, что важно повторить их еще раз в отношении воров macOS:
- Проявите должную осмотрительность перед установкой чего-либо за пределами официального Mac App Store.
- Ни при каких обстоятельствах пользователь не должен следовать инструкциям по обходу Gatekeeper.
- Будьте осторожны с любыми системными подсказками или запросами конфиденциальной информации.
- Поддерживайте актуальность своих устройств и приложений для защиты от новейших угроз и уязвимостей.
