Skip to main content

В ходе анализа различных осколков примечательного похитителя macOS исследователи безопасности из Moonlock обнаружили один из них с тревожным уровнем сложности. Под видом неизданной видеоигры GTA6 после установки вредоносная программа применяет довольно хитрые методы для извлечения конфиденциальной информации, такой как пароли, из локальной связки ключей пользователя.

Как я сообщал в предыдущем выпуске. Популярность вредоносных программ, специально созданных для macOS, продолжает расти по мере роста популярности Mac. В прошлом году в дикой природе было обнаружено 21 новое семейство вредоносных программ, что на 50% больше, чем в 2022 году.

Несмотря на это, до сих пор существует распространенное заблуждение, что злоумышленники не нацелены на компьютеры Apple. Хотя это, возможно, и было правдой в прошлом, сегодня это определенно не так. Мало того, что число атак вредоносных программ увеличивается, они также становятся более изощренными, чем когда-либо.

Как это работает

В ходе анализа Moonlock, подразделение кибербезопасности MacPaw, обнаружило, что новый образец вредоносного ПО представляет собой вариант программы для кражи паролей (PSW), типа вредоносного трояна, предназначенного для сбора логинов и паролей с зараженных компьютеров и отправки их обратно злоумышленнику. через удаленное соединение или электронную почту.

Исследователи обнаружили, что вредоносное ПО маскируется под копию GTA6 или пиратскую версию Notion. Это распространенный прием социальной инженерии, который использует доверие, используя знакомую терминологию, чтобы обманом заставить пользователей загрузить вредоносное ПО.

Примечательно, что на всех компьютерах Mac установлена ​​версия macOS Gatekeeper, которая работает в фоновом режиме и не позволяет пользователям загружать из Интернета неподписанные приложения, которые могут содержать вредоносное ПО. Однако пользователь может обойти эту функцию безопасности, просто щелкнув правой кнопкой мыши файл DMG и нажав «Открыть». Киберпреступники используют эту простоту, добавляя графические инструкции пользователю, как открыть вредоносный файл.

Окно, показывающее пользователю, как обойти Gatekeeper для установки DMG. через Мунлок

После выполнения DMG запускает файл Mach-O с именем AppleApp.

«Впоследствии AppleApp инициирует запрос GET на определенный URL-адрес, исходящий с российского IP-адреса. Если соединение установлено успешно, программа начнет загружать частично запутанную полезную нагрузку AppleScript и Bash. Эта полезная нагрузка выполняется непосредственно из памяти приложения, минуя файловую систему», — заявил Мунлок в своем блоге о результатах.

При выполнении полезная нагрузка использует многогранный подход для достижения своих вредоносных целей. В этом порядке:

  • Фишинг для получения учетных данных
  • Нацеливание на конфиденциальные данные
  • Профилирование системы
  • Эксфильтрация данных

Поскольку доступ к локальной базе данных «Связки ключей» возможен только с использованием системного пароля пользователя, вредоносная программа использует второй хитрый прием. Он разворачивает фальшивое окно установки вспомогательного приложения, еще больше эксплуатируя доверие и обманом заставляя пользователя раскрыть свой пароль.

Наглядный пример вспомогательного окна. Не имеет отношения к этому образцу вредоносного ПО.

Вредоносное ПО теперь начинает атаковать базы данных Keychain и многие другие источники конфиденциальных данных.

«Вредоносная программа с высокой точностью обыскивает системные каталоги в поисках ценных данных, таких как файлы cookie, история форм и учетные данные для входа в популярные веб-браузеры, включая Chrome, Firefox, Brave, Edge, Opera и OperaGX. Кроме того, он ищет список последних серверов в FileZilla, базах данных macOS Keychain и кошельках криптовалют».

Более того, используя более сложные сценарии AppleScript, вредоносная программа создает секретную папку в домашних каталогах пользователей. Здесь все собранные логины, пароли и ключи хранятся в ожидании извлечения из зараженной системы на внешний сервер, контролируемый киберпреступником.

Полезная нагрузка Apple Bash, показывающая механизм кражи данных. через Мунлок

Как обезопасить себя от воров macOS

Хотя лишь около 6% всех вредоносных программ нацелены на пользователей Mac, злоумышленники сейчас активно нацелены на macOS больше, чем когда-либо. Важно сохранять бдительность и продолжать использовать обычные Интернет-умные способности.

Хотя вы, возможно, уже знаете многие из этих советов, я думаю, что важно повторить их еще раз в отношении воров macOS:

  • Проявите должную осмотрительность перед установкой чего-либо за пределами официального Mac App Store.
  • Ни при каких обстоятельствах пользователь не должен следовать инструкциям по обходу Gatekeeper.
  • Будьте осторожны с любыми системными подсказками или запросами конфиденциальной информации.
  • Поддерживайте актуальность своих устройств и приложений для защиты от новейших угроз и уязвимостей.