9to5Mac Security Bite эксклюзивно предоставлен вам Mosyle, единственная унифицированная платформа Apple. Все, что мы делаем, — это обеспечить готовность устройств Apple к работе и безопасность на предприятии. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе самые современные решения безопасности Apple для полностью автоматизированной защиты и соответствия требованиям, EDR следующего поколения, нулевого доверия на основе искусственного интеллекта и эксклюзивного управления привилегиями с самой мощной и современной Apple MDM. на рынке. Результатом стала полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, которая позволяет подготовить к работе миллионы устройств Apple без каких-либо усилий и по доступной цене. Запросите РАСШИРЕННУЮ ПРОБНУЮ ПРОБНУЮ ВЕРСИЮ сегодня и поймете, почему Mosyle — это все, что вам нужно для работы с Apple.
В новом отчете компании Check Point Research подробно рассказывается, как новый вариант печально известного вредоносного ПО-вора Banshee, созданного русскоязычными киберпреступниками, использует собственные методы обеспечения безопасности Apple, чтобы избежать обнаружения. Вредоносное ПО оставалось незамеченным более двух месяцев благодаря умелому использованию тех же методов шифрования, что и антивирусный пакет обнаружения Mac XProtect.
Если вы заядлый читатель Укус безопасностивы слышали, как я говорил (не раз), что похитители вредоносного ПО, обычно использующие бизнес-модели «вредоносное ПО как услуга» (MaaS), в настоящее время представляют наибольшую угрозу для пользователей Mac. Они разрушительны и нацелены на ваши пароли связки ключей iCloud, криптовалютные кошельки, конфиденциальную информацию из файлов и даже системные пароли, подобно скрытному низкоорбитальному ионному канону. Киберпреступники часто встраивают этот вредоносный код в, казалось бы, законные приложения в качестве уловки для заражения компьютеров.
Интересно, что этот недавно обнаруженный вариант Банши делает то, чего я никогда не видел и даже не подозревал, что это возможно. Вредоносное ПО фактически «украл» алгоритм шифрования строк непосредственно из антивирусного ядра XProtect от Apple. Этот метод, обычно используемый Apple для защиты своих правил YARA в двоичных файлах XProtect Remediator, был перепрофилирован вредоносной программой, чтобы скрыть свой вредоносный код от обнаружения. Подробнее о правилах YARA и XProtect я рассказываю здесь.
Поскольку антивирусные программы привыкли видеть этот тип шифрования в законных инструментах безопасности Apple, они не пометили его как подозрительный.
Эта стратегия, используемая авторами вредоносного ПО, оказалась весьма эффективной, пока в ноябре 2024 года ее собственные филиалы не опубликовали исходный код на подпольных форумах. Вскоре большинство антивирусных движков на VirusTotal были обновлены новыми сигнатурами, которые теперь могли обнаруживать новый штамм. . Согласно отчету, авторы вредоносного ПО прекратили работу на следующий день после утечки кода. Он циркулировал незамеченным в течение как минимум 2 месяцев.
«Злоумышленники распространяли эту новую версию в основном через фишинговые сайты и вредоносные репозитории GitHub. По данным Check Point Research, в некоторых кампаниях GitHub злоумышленники атаковали пользователей как Windows, так и MacOS с помощью Lumma и Banshee Stealer. Lumma — еще одна распространенная разновидность вредоносного ПО-вора, но она написана для пользователей Windows и нацелена на них.
Подробный анализ самого вредоносного ПО можно найти в полном отчете Check Point.
Больше о безопасности Apple
Фзабудь о: Твиттер/ХLinkedIn, Темы
