Вирусы под MacOS, появившиеся в 2021 году
Прошло то время, когда вирусы угрожали только ОС Windows. Тем не менее для macOS и iOS угроз гораздо меньше, чем для Windows и Android, но судя по статистике - ненадолго.
Исследователь в области кибербезопасности Патрик Уордл уже шестой год подряд публикует список вредоносных программ для macOS, обнаруженных за прошедший год.
В 2021 году было обнаружено 8 вредоносных программ, которые можно разделить на несколько категорий: криптомайнеры, загрузчики рекламного ПО, похитители данных и трояны.
Рассмотрим каждый из них:
ElectroRAT
ElectroRat — кроссплатформенный (под все основные системы: Windows, Linux и MacOS) троян удалённого доступа. Основной целью ElectroRAT является опустошение криптовалютных кошельков. На компьютер зловред попадает посредством троянских приложений, предназначенных для работы с криптовалютой: Jamm, eTrade и DaoPoker. Первые два якобы предназначались для управления торговлей криптовалютой, а последнее — игра в покер со ставками на криптовалюте.
Злоумышленники создали веб-сайты и страницы в соцсетях для каждого из приложений и активно их продвигали на форумах по криптовалюте и блокчейну.
После загрузки приложения открывался графический интерфейс и вредоносное ПО проникало в фоновый режим. Кроме кражи криптокошельков, ElectroRat способен воровать другие аккаунты и пароли с помощью кейлоггинга (записи нажатия всех клавиш на клавиатуре), делать скриншоты, загружать и запускать с сервера злоумышленников другие программы.
Поскольку ElectroRat распространяется с помощью «материнских» приложений, для защиты от него в первую очередь следует избегать программ от непроверенных издателей, особенно, связанных с криптовалютой.
SilverSparrow
SilverSparrow (Серебряный Воробей) — обнаружен в 2021 году на почти 40 000 машинах под управлением macOS. Главная странность SilverSparrow в том, что он ведёт себя пассивно на заражённом компьютере, раз в час обращаясь к серверу, местоположение которого не удаётся узнать. Вредоносное ПО никак не нагружает систему и без специальных приложений его не обнаружить. Любопытно, что вредоносное ПО имеет механизм полного удаления, который обычно используется в профессиональных разведывательных операциях.
Двоичный файл зловреда при запуске выдает окно с сообщением «Hello World!» в версии x86_84 и «You did it!» в версии для процессора М1.
Никакой другой деятельности за зловредом не обнаружено, но это вовсе не означает, что он безопасен. Вполне возможно, что SilverSparrow ожидает команды от сервера, чтобы приступить к вирусной деятельности с непредсказуемым результатом..
Способ распространения зловреда остался невыявленным. Известно, что он использует для заражения установщик macOS, но как и откуда устанавливаемый пакет попадает на диск компьютера — непонятно. Скорее всего, SilverSparrow проникает под видом приложений с сайтов сторонних производителей. Для защиты от зловреда следует придерживаться стандартных требований безопасности: пользоваться файрволом, не доверять приложениям непроверенных издателей, не открывать вложения в письмах, если вы полностью в них не уверены и т.д.
XcodeSpy
XcodeSpy — опасный зловред, нацеленный на разработчиков Xcode с помощью бэкдора под названием EggShell. Xcode — среда разработки (IDE) для платформ macOS и iOS. XcodeSpy содержит вредоносный Run Script, который был интегрирован в копию легитимного Xcode-проекта под названием TabBarInteraction. При использовании проекта скрипт устанавливает в системе автозапускаемый сервис для «отвязки» от материнского проекта. Зловред способен записывать и отправлять на удаленный сервер аудио и видео с устройства пользователя, записывать нажатия клавиш, загружать и выгружать файлы.
По мнению компании-производителя антивируса SentinelOne, XcodeSpy был создан с конкретной целью против конкретной компании разработчиков (или группы компаний) — вероятнее всего, азиатской. Неизвестно, достигли злоумышленники своих целей или нет, но, по утверждению специалистов SentinelOne, поддержка зловреда на текущий момент остановлена. Но он все еще представляет опасность, так как вносит в систему уязвимость, которой злоумышленник может воспользоваться в любой момент — пусть даже ваш компьютер и не был его изначальной целью.
Для защиты от XcodeSpy следует с осторожностью относиться к непроверенным Xcode-проектам и пользоваться файрволом, не допуская «несанкционированных» подключений к неизвестным серверам.
ElectrumStealer
ElectrumStealer — троян, нацеленный на кражу криптокошельков Electrum. Зловред распространяется с помощью сообщений, маскирующихся под запрос на обновление кошелька до новой версии. При переходе из сообщения якобы на официальный сайт, запрос перенаправляется на сайт злоумышленников, с которого скачивается троянская версия криптокошелька. При запуске обновленной версии криптокошелька, троян передает данные и пароли на сервер злоумышленников.
Для защиты от зловреда следует не переходить по ссылкам в сообщениях и не устанавливать обновления ни с каких сайтов, кроме проверенных официальных.
WildPressure
WildPressure — кроссплатформенный бэкдор Python, обнаруженный «Лабораторией Касперского». Помимо версий зловреда, написанных на C++, эксперты компании зафиксировали атаки с использованием схожих версий на Visual Basic Script и Python. Последняя может заражать как Windows, так и macOS. Все три модификации способны собирать данные о пользователе, загружать файлы и выполнять команды удаленного оператора.
Какого-то единого способа распространения скрипта на текущий момент не выявлено. Злоумышленники из WildPressure, предположительно, используют троян при целевых атаках на выбранные компании, распространяя его всеми доступными методами, включая как атаки на компьютеры компании с использованием известных уязвимостей, так и социальную инженерию.
Для защиты от атак WildPressure следует придерживаться стандартных правил кибербезопасности.
XLoader
XLoader — кроссплатформенный похититель паролей. Он дает возможность собирать учетные данные, может работать как кейлоггер и запускать вредоносные файлы.
Один из способов распространения трояна — зараженный документ или вложение в почте. Троян может проникнуть на компьютер как в виде бинарного файла, так и скомпилированного файла Java с расширением jar. И если последнему требуется среда выполнения Java, которая есть не на всех компьютерах с macOS, то у бинарного файла таких ограничений нет. После запуска троян включает пользовательский LaunchAgent — сервис автозапуска — для постоянной работы зловреда.
Для защиты от XLoader следует соблюдать правила информационной безопасности. Правильно настроенный файрвол также способен выявить заражение по попыткам связи «непонятных» приложений с посторонними серверами.
ZuRu
ZuRu — инструмент для кражи данных, который распространялся через рекламные результаты поиска в китайском поисковике Baidu.
Для заражения компьютера ZuRu использует фальшивые приложения, маскирующиеся под обычное программное обеспечение macOS. Пользователям ссылки на такие приложения предоставляются с помощью SEP (Search Engine Poisoning — Отравление Поисковых Систем) — хакерского метода, при котором ссылка на вредоносное приложение попадает в выдачу поисковой системы наряду со ссылками на официальные сайты.
При этом фальшивый сайт полностью копирует дизайн и содержимое оригинального сайта, усыпляя бдительность пользователя и предлагая ему скачать вредоносный код. Замечены случаи заражения ZuRu при попытке установки троянских версий таких приложений, как iTerm, Microsoft Remote Desktop, Navicat, SecureCRT, SnailSVN.
Для защиты от ZuRu следует придерживаться стандартных правил информационной безопасности. Кроме того, при переходе на официальные сайты следует тщательно проверять строку браузера. Злоумышленники стараются подобрать доменное имя максимально близкое к имитируемому, но при внимательном рассмотрении разницу заметить можно.
CDDS (MacMa)
MacMa — шпионское ПО, создание которого приписывают государственным структурам. Оригинальный троян, использующий для проникновения на компьютеры цепочку уязвимостей iOS и macOS. Хотя на текущий момент использовавшиеся уязвимости уже устранены, они, возможно, являлись не единственным способом распространения трояна. Так, обнаружена более старая версия трояна, использующая для внедрения на компьютер фальшивый установщик Flash Player.
При проникновении на устройство MacMa пытается получить доступ к микрофону и камере. Троян предоставляет удаленному злоумышленнику богатый набор возможностей:
-
кейлоггинг для кражи логинов/паролей;
-
запись видео и аудио с камеры и микрофона;
-
создание скриншотов;
-
загрузка файлов с сервера и их выполнение.
Для защиты от зловреда следует обновить ПО до актуальных версий и придерживаться правил информационной безопасности.
Заключение
Исследователи безопасности отмечают, что до сих пор бытует ошибочное представление о том, что компьютеры Mac практически не подвержены заражению вредоносным ПО в отличие от машин с Windows. Для операционной системы macOS за последние несколько лет было создано большое количество вредоносных утилит и шпионских программ. Но большинство зловредов не могут запуститься на компьютере без помощи пользователя. Поэтому крайне важно поддерживать высокий уровень информационной грамотности всех работающих за компьютером. Следует знать о методах социальной инженерии и о способах проникновения зловредов на компьютеры. Следите за выпуском обновлений для ПО, своевременно обновляясь до актуальных версий для устранения уязвимостей. Пользуйтесь проверенными защитными программами и файрволами.