Так ли безопасны «Маки», как думают их владельцы? Несколько свежих историй о вредоносном программном обеспечении, которое атакует пользователей macOS.
Многие пользователи устройств Apple считают, что операционная система macOS настолько безопасна, что никакие киберугрозы им не страшны, поэтому о дополнительной защите «Маков» можно не беспокоиться. Это, конечно же, совсем не так: хотя для macOS существует меньше вредоносного ПО, оно все же встречается гораздо чаще, чем хотелось бы думать владельцам «яблочных» устройств.
В этом посте мы рассмотрим актуальные угрозы, с которыми сталкиваются пользователи macOS, и расскажем о том, как обеспечить эффективную защиту своего «Мака». В качестве иллюстрации того факта, что вирусы для macOS очень даже существуют, мы используем три свежих исследования нескольких семейств вредоносного ПО, которые были опубликованы в течение последних нескольких недель.
Обнаруженный для macOS распространяется внутри вредоносных архивов. Он замаскирован под PDF-документ, озаглавленный «Криптоактивы и их риски для финансовой стабильности» (Crypto-assets and their risks for financial stability), и снабжен иконкой, имитирующей превью этого документа.
Титульная страница PDF-обманки, которую троян скачивает и показывает пользователю при запуске файла из зараженного архива
После того как пользователь кликает по трояну, мимикрирующему под PDF, запускается скрипт, который загружает из Интернета и действительно открывает соответствующий PDF-документ. Но, конечно же, это далеко не все, что происходит. Основная задача трояна — загрузить еще один вирус, который собирает информацию о зараженной системе, отправляет ее на командный сервер и далее ожидает команды на выполнение одного из двух возможных действий: либо самоудаления, либо сохранения в файл и выполнения вредоносного кода, присланного ему в ответ от сервера.
Как уже было сказано выше, этот зловред принадлежит к типу прокси-троянов — вредоносного ПО, которое организует на зараженном компьютере прокси-сервер, то есть узел для перенаправления интернет-трафика. В дальнейшем киберпреступники могут задействовать такие зараженные устройства для организации платной сети прокси-серверов, получая деньги от желающих пользоваться подобными услугами.
Или же владельцы трояна могут использовать зараженные компьютеры напрямую, совершая от лица жертвы какие-либо преступные действия — от атак на веб-сайты, компании и других пользователей до покупки Орудия, наркотиков и прочих незаконных товаров.
Впервые троян Atomic был еще в марте 2023 года. Новость состоит в том, что теперь для распространения трояна Atomic злоумышленники начали использовать фейковые обновления браузеров Safari и Chrome. Эти обновления загружаются с вредоносных страниц, очень правдоподобно имитирующих сайты, принадлежащие Apple и Google соответственно.
Сайт с фейковыми обновлениями браузера Safari, которые на самом деле содержат внутри стилер Atomic
Будучи запущенным в системе, троян-стилер Atomic пытается украсть с компьютера жертвы следующую информацию:
Опять-таки совсем недавно две уязвимости нулевого дня в браузере Safari — судя по , к моменту обнаружения их уже активно эксплуатировали киберпреступники. Просто заманив пользователя на вредоносную страницу, злоумышленники заражают устройство жертвы без каких-либо дополнительных действий с ее стороны, тем самым получая контроль над устройством и возможность воровать с него данные. Эти уязвимости актуальны для всех устройств, на которых есть браузер Safari, — то есть их эксплуатация угрожает как пользователям iOS/iPadOS, так и владельцам «Маков».
Вообще это частая ситуация: поскольку операционные системы Apple имеют много общих компонентов, в большинстве случаев уязвимости актуальны не для одной из разработанных компанией ОС, а сразу для всех. Так что здесь «Маки» подводит высокая популярность iPhone: охотятся в первую очередь на пользователей iOS, но уязвимости с тем же успехом могут быть использованы и для атаки на macOS.
Всего в 2023 году в операционных системах Apple было обнаружено 19 уязвимостей нулевого дня, о которых известно, что их активно эксплуатировали злоумышленники. Из них пользователей macOS касались целых 17 уязвимостей, в том числе более десятка с высоким статусом опасности и одна — с критическим.
Уязвимости нулевого дня в macOS, iOS и iPadOS, обнаруженные в 2023 году, которые активно эксплуатировали злоумышленники
Многие пользователи устройств Apple считают, что операционная система macOS настолько безопасна, что никакие киберугрозы им не страшны, поэтому о дополнительной защите «Маков» можно не беспокоиться. Это, конечно же, совсем не так: хотя для macOS существует меньше вредоносного ПО, оно все же встречается гораздо чаще, чем хотелось бы думать владельцам «яблочных» устройств.
В этом посте мы рассмотрим актуальные угрозы, с которыми сталкиваются пользователи macOS, и расскажем о том, как обеспечить эффективную защиту своего «Мака». В качестве иллюстрации того факта, что вирусы для macOS очень даже существуют, мы используем три свежих исследования нескольких семейств вредоносного ПО, которые были опубликованы в течение последних нескольких недель.
BlueNoroff атакует пользователей macOS и ворует криптовалюту
В конце октября 2023 года наши исследователи , который предположительно связан с — «коммерческим крылом» APT-группировки . Эта подгруппа специализируется на финансовых атаках и, в частности, вплотную занимается двумя вещами: во-первых, атаками на систему SWIFT — включая знаменитое , — а во-вторых, кражей криптовалют у организаций и частных лиц.Обнаруженный для macOS распространяется внутри вредоносных архивов. Он замаскирован под PDF-документ, озаглавленный «Криптоактивы и их риски для финансовой стабильности» (Crypto-assets and their risks for financial stability), и снабжен иконкой, имитирующей превью этого документа.
Титульная страница PDF-обманки, которую троян скачивает и показывает пользователю при запуске файла из зараженного архива
После того как пользователь кликает по трояну, мимикрирующему под PDF, запускается скрипт, который загружает из Интернета и действительно открывает соответствующий PDF-документ. Но, конечно же, это далеко не все, что происходит. Основная задача трояна — загрузить еще один вирус, который собирает информацию о зараженной системе, отправляет ее на командный сервер и далее ожидает команды на выполнение одного из двух возможных действий: либо самоудаления, либо сохранения в файл и выполнения вредоносного кода, присланного ему в ответ от сервера.
Прокси-троян в пиратском программном обеспечении для macOS
В конце ноября 2023 года наши исследователи обнаружили и другого зловреда, угрожающего пользователям «Маков», — прокси-трояна, которого распространяли вместе с пиратским программным обеспечением для macOS. В частности, этого трояна добавляли в PKG-файлы взломанных программ для обработки видео, инструментов для восстановления данных, сетевых утилит, конвертеров файлов и разного другого софта — полный список обнаруженных нашими экспертами зараженных установщиков можно посмотреть в конце .Как уже было сказано выше, этот зловред принадлежит к типу прокси-троянов — вредоносного ПО, которое организует на зараженном компьютере прокси-сервер, то есть узел для перенаправления интернет-трафика. В дальнейшем киберпреступники могут задействовать такие зараженные устройства для организации платной сети прокси-серверов, получая деньги от желающих пользоваться подобными услугами.
Или же владельцы трояна могут использовать зараженные компьютеры напрямую, совершая от лица жертвы какие-либо преступные действия — от атак на веб-сайты, компании и других пользователей до покупки Орудия, наркотиков и прочих незаконных товаров.
Стилер Atomic в фейковых обновлениях браузера Safari
В том же ноябре 2023 года была новая вредоносная кампания по распространению еще одного трояна для macOS, известного под названием Atomic и принадлежащего к классу . Зловреды этой категории занимаются поиском, извлечением и отправкой своим создателям всякого рода ценной информации, которая может обнаружиться на компьютере жертвы, — в частности, данных, сохраненных в браузерах. Основную ценность для стилеров представляют логины и пароли, реквизиты банковских карт, ключи от криптокошельков и тому подобные вещи.Впервые троян Atomic был еще в марте 2023 года. Новость состоит в том, что теперь для распространения трояна Atomic злоумышленники начали использовать фейковые обновления браузеров Safari и Chrome. Эти обновления загружаются с вредоносных страниц, очень правдоподобно имитирующих сайты, принадлежащие Apple и Google соответственно.
Сайт с фейковыми обновлениями браузера Safari, которые на самом деле содержат внутри стилер Atomic
Будучи запущенным в системе, троян-стилер Atomic пытается украсть с компьютера жертвы следующую информацию:
- куки-файлы;
- логины-пароли и реквизиты банковских карт, сохраненные в браузере;
- пароли из системы хранения паролей macOS ( );
- сохраненные на диске файлы;
- сохраненные данные более 50 популярных криптовалютных расширений.
Уязвимости нулевого дня в macOS
Увы, даже если вы не скачиваете подозрительные файлы, не открываете вложения из неизвестных источников и вообще ни по чему подозрительному не кликаете, это вовсе не гарантирует безопасность. Следует помнить о том, что в любом программном обеспечении всегда есть уязвимости, которые злоумышленники могут использовать для заражения устройства без каких-либо активных действий пользователя или почти без них. И операционная система macOS тут совсем не исключение.Опять-таки совсем недавно две уязвимости нулевого дня в браузере Safari — судя по , к моменту обнаружения их уже активно эксплуатировали киберпреступники. Просто заманив пользователя на вредоносную страницу, злоумышленники заражают устройство жертвы без каких-либо дополнительных действий с ее стороны, тем самым получая контроль над устройством и возможность воровать с него данные. Эти уязвимости актуальны для всех устройств, на которых есть браузер Safari, — то есть их эксплуатация угрожает как пользователям iOS/iPadOS, так и владельцам «Маков».
Вообще это частая ситуация: поскольку операционные системы Apple имеют много общих компонентов, в большинстве случаев уязвимости актуальны не для одной из разработанных компанией ОС, а сразу для всех. Так что здесь «Маки» подводит высокая популярность iPhone: охотятся в первую очередь на пользователей iOS, но уязвимости с тем же успехом могут быть использованы и для атаки на macOS.
Всего в 2023 году в операционных системах Apple было обнаружено 19 уязвимостей нулевого дня, о которых известно, что их активно эксплуатировали злоумышленники. Из них пользователей macOS касались целых 17 уязвимостей, в том числе более десятка с высоким статусом опасности и одна — с критическим.
Уязвимости нулевого дня в macOS, iOS и iPadOS, обнаруженные в 2023 году, которые активно эксплуатировали злоумышленники
Прочие угрозы, и как защитить свой «Мак»
Также не стоит забывать о том, что существует масса киберугроз, которые вообще не зависят от операционной системы, но в то же время могут быть не менее опасны, чем вредоносное программное обеспечение. В частности, нужно помнить о следующих опасностях:- и поддельные сайты. Фишинговые письма и сайты работают одинаково и для пользователей Windows, и для владельцев «Маков». Увы, далеко не все поддельные письма и сайты можно распознать невооруженным глазом, так что во многих случаях кража логинов и паролей угрожает даже самым опытным пользователям.
- Веб-угрозы, в том числе . Вредоносным программным обеспечением может быть заражено не только устройство самого пользователя, но и сервер, с которым оно общается. Например, часто злоумышленники взламывают плохо защищенные сайты — в первую очередь онлайн-магазины — и устанавливают на них веб-скиммеры. То есть небольшие программные модули, предназначенные для перехвата и кражи данных банковских карт, которые вводят посетители.
- Вредоносные . Это небольшие программные модули, которые устанавливаются прямо в браузер и работают в нем же, — поэтому не зависят от используемой ОС. Несмотря на кажущуюся безобидность, расширения могут очень многое: читать содержимое всех посещаемых страниц, перехватывать вводимую пользователем информацию (пароли, номера карт, ключи от криптокошельков) и даже подменять контент отображаемых страниц.
- Перехват трафика и атаки (MITM). Большая часть современных веб-сайтов использует подключение с шифрованием (HTTPS), но иногда все еще можно нарваться на HTTP-сайты, обмен данными с которыми может быть перехвачен. Злоумышленники используют такой перехват в том числе для того, чтобы осуществлять MITM-атаки, подсовывая пользователю вместо настоящей страницы поддельную или зараженную.
