Skip to main content

24-дюймовый iMac

Недавно обнаруженный образец вредоносного ПО для macOS продолжает тенденцию атак на экосистему Apple, но в своем нынешнем состоянии он не представляет серьезной угрозы для пользователей Mac.

Производители вредоносного ПО рассматривают macOS как большую цель, чем когда-либо, и активизировали свои попытки проникнуть в операционную систему Apple. Однако не все попытки можно считать угрозой для обычного пользователя.

Анализ новой программы-вымогателя «Черепаха», проведенный Патриком Уордлом из Objective-See, подробно описывает один образец вредоносного ПО для macOS, в котором были все составные части программы-вымогателя. Однако он был обнаружен в состоянии, которое могло нанести вред только тем, кто был точно уверен в заражении.

Название «Черепаха» происходит от анализа кода, написанного на Go. Внутренние ссылки на «Turtlerans» и «TurmiRansom», а также файлы с префиксом «TurtleRansom» означали, что вредоносному ПО было легко дать свое имя.

Первоначальный анализ zip-файла образца показывает, что вредоносное ПО было скомпилировано для многих популярных платформ и архитектур, включая Windows, Linux и macOS. Файлы macOS .pkg не были пакетами, а оказались исполняемыми файлами Mach-O, скомпилированными для компьютеров Mac Intel и Apple Silicon.

Также было установлено, что вредоносное ПО сначала было разработано для Windows, а затем было перенесено на macOS. Упоминания о Windows означали, что всего за два дня у нее был высокий уровень пометок 24 из 62 поставщиков средств безопасности на VirusTotal, что является необычным достижением для вредоносного ПО для macOS.

Разбивая это

Проверка вредоносного ПО обнаруживает, что код подписан и может работать на macOS. Однако, поскольку он подписан специально и не нотариально заверен, macOS Gatekeeper должен блокировать его выполнение, если пользователи не разрешат его запуск, хотя он также может быть развернут с помощью какой-либо формы эксплойта.

Попытки извлечь встроенные строки прошли очень хорошо, поскольку попыток их запутать, казалось бы, вообще не было. То, что было обнаружено, представляло собой строки, позволяющие довольно просто настроить программу-вымогатель.

Действительно, поскольку шифрование выполнялось с использованием криптографической/AES-библиотеки Go, было довольно просто подобрать ключ вымогателя с тщательно установленной точкой останова. Тот же самый запрограммированный ключ также был найден в памяти.

«Поскольку AES симметричен и здесь ключ жестко запрограммирован, нам нетрудно написать дешифратор», — пишет Уордл, прежде чем создавать дешифратор и тестировать его.

На данный момент в основном безвреден

«В этом случае этот образец macOS вряд ли повлияет на среднего пользователя macOS», — говорится в отчете. При вмешательстве Gatekeeper пользователи должны полностью игнорировать этот шаг безопасности, необычную настройку безопасности или запуск вредоносного ПО с помощью другого эксплойта, чтобы начать шифрование файлов.

Apple также предприняла шаги, чтобы «довольно активно противостоять атакам программ-вымогателей на macOS», внедрив SIP и системные тома только для чтения, защищающие основные файлы ОС. Защита TCC пользовательских файлов в защищенных каталогах также помогает ограничить воздействие программ-вымогателей.

Хотя большинству пользователей Mac не нужно слишком беспокоиться о программе-вымогателе Turtle, ее существование является еще одной причиной, чтобы «дать нам паузу для беспокойства», пишет Уордл, а также помочь начать обсуждение способов обнаружения и предотвращения таких образцов и атак. от появления в macOS.

Как защитить себя от программы-вымогателя Turtle

В его нынешнем состоянии пользователям не нужно делать так много, чтобы обезопасить себя от воздействия программы-вымогателя Turtle. Все, чего действительно необходимо придерживаться, — это хорошая компьютерная гигиена.

Например, обращайте внимание на запросы безопасности Gatekeeper и других macOS при запуске приложений или открытии файлов, а также при загрузке программного обеспечения только из надежных или известных безопасных онлайн-источников. Кроме того, не стоит слепо открывать файлы, отправленные из неизвестных источников по электронной почте.

Разумное поведение в Интернете должно обеспечить безопасность большинства людей в целом, независимо от того, есть ли программы-вымогатели.