Безопасны ли «Маки»? Угрозы для пользователей macOS

Так ли безопасны «Маки», как думают их владельцы? Несколько свежих историй о вредоносном программном обеспечении, которое атакует пользователей macOS.

Так ли безопасна macOS, как думают ее пользователи?

Многие пользователи устройств Apple считают, что операционная система macOS настолько безопасна, что никакие киберугрозы им не страшны, поэтому о дополнительной защите «Маков» можно не беспокоиться. Это, конечно же, совсем не так: хотя для macOS существует меньше вредоносного ПО, оно все же встречается гораздо чаще, чем хотелось бы думать владельцам «яблочных» устройств.

В этом посте мы рассмотрим актуальные угрозы, с которыми сталкиваются пользователи macOS, и расскажем о том, как обеспечить эффективную защиту своего «Мака». В качестве иллюстрации того факта, что вирусы для macOS очень даже существуют, мы используем три свежих исследования нескольких семейств вредоносного ПО, которые были опубликованы в течение последних нескольких недель.

BlueNoroff атакует пользователей macOS и ворует криптовалюту

В конце октября 2023 года наши исследователи обнаружили нового трояна для macOS, который предположительно связан с BlueNoroff — «коммерческим крылом» APT-группировки Lazarus. Эта подгруппа специализируется на финансовых атаках и, в частности, вплотную занимается двумя вещами: во-первых, атаками на систему SWIFT — включая знаменитое ограбление Центрального банка Бангладеш, — а во-вторых, кражей криптовалют у организаций и частных лиц.

Обнаруженный троян-загрузчик для macOS распространяется внутри вредоносных архивов. Он замаскирован под PDF-документ, озаглавленный «Криптоактивы и их риски для финансовой стабильности» (Crypto-assets and their risks for financial stability), и снабжен иконкой, имитирующей превью этого документа.

BlueNoroff/RustBucket: титульная страница PDF-обманки

Титульная страница PDF-обманки, которую троян скачивает и показывает пользователю при запуске файла из зараженного архива. Источник

После того как пользователь кликает по трояну, мимикрирующему под PDF, запускается скрипт, который загружает из Интернета и действительно открывает соответствующий PDF-документ. Но, конечно же, это далеко не все, что происходит. Основная задача трояна — загрузить еще один вирус, который собирает информацию о зараженной системе, отправляет ее на командный сервер и далее ожидает команды на выполнение одного из двух возможных действий: либо самоудаления, либо сохранения в файл и выполнения вредоносного кода, присланного ему в ответ от сервера.

Прокси-троян в пиратском программном обеспечении для macOS

В конце ноября 2023 года наши исследователи обнаружили и другого зловреда, угрожающего пользователям «Маков», — прокси-трояна, которого распространяли вместе с пиратским программным обеспечением для macOS. В частности, этого трояна добавляли в PKG-файлы взломанных программ для обработки видео, инструментов для восстановления данных, сетевых утилит, конвертеров файлов и разного другого софта — полный список обнаруженных нашими экспертами зараженных установщиков можно посмотреть в конце отчета, опубликованного на Securelist.

Как уже было сказано выше, этот зловред принадлежит к типу прокси-троянов — вредоносного ПО, которое организует на зараженном компьютере прокси-сервер, то есть узел для перенаправления интернет-трафика. В дальнейшем киберпреступники могут задействовать такие зараженные устройства для организации платной сети прокси-серверов, получая деньги от желающих пользоваться подобными услугами.

Или же владельцы трояна могут использовать зараженные компьютеры напрямую, совершая от лица жертвы какие-либо преступные действия — от атак на веб-сайты, компании и других пользователей до покупки оружия, наркотиков и прочих незаконных товаров.

Стилер Atomic в фейковых обновлениях браузера Safari

В том же ноябре 2023 года была обнаружена новая вредоносная кампания по распространению еще одного трояна для macOS, известного под названием Atomic и принадлежащего к классу инфостилеров. Зловреды этой категории занимаются поиском, извлечением и отправкой своим создателям всякого рода ценной информации, которая может обнаружиться на компьютере жертвы, — в частности, данных, сохраненных в браузерах. Основную ценность для стилеров представляют логины и пароли, реквизиты банковских карт, ключи от криптокошельков и тому подобные вещи.

Впервые троян Atomic был обнаружен и описан еще в марте 2023 года. Новость состоит в том, что теперь для распространения трояна Atomic злоумышленники начали использовать фейковые обновления браузеров Safari и Chrome. Эти обновления загружаются с вредоносных страниц, очень правдоподобно имитирующих сайты, принадлежащие Apple и Google соответственно.

Фейковые обновления браузера Safari с трояном-стилером внутри

Сайт с фейковыми обновлениями браузера Safari, которые на самом деле содержат внутри стилер Atomic. Источник

Будучи запущенным в системе, троян-стилер Atomic пытается украсть с компьютера жертвы следующую информацию:

  • куки-файлы;
  • логины-пароли и реквизиты банковских карт, сохраненные в браузере;
  • пароли из системы хранения паролей macOS (Keychain);
  • сохраненные на диске файлы;
  • сохраненные данные более 50 популярных криптовалютных расширений.

Уязвимости нулевого дня в macOS

Увы, даже если вы не скачиваете подозрительные файлы, не открываете вложения из неизвестных источников и вообще ни по чему подозрительному не кликаете, это вовсе не гарантирует безопасность. Следует помнить о том, что в любом программном обеспечении всегда есть уязвимости, которые злоумышленники могут использовать для заражения устройства без каких-либо активных действий пользователя или почти без них. И операционная система macOS тут совсем не исключение.

Опять-таки совсем недавно были обнаружены две уязвимости нулевого дня в браузере Safari — судя по сообщению Apple, к моменту обнаружения их уже активно эксплуатировали киберпреступники. Просто заманив пользователя на вредоносную страницу, злоумышленники заражают устройство жертвы без каких-либо дополнительных действий с ее стороны, тем самым получая контроль над устройством и возможность воровать с него данные. Эти уязвимости актуальны для всех устройств, на которых есть браузер Safari, — то есть их эксплуатация угрожает как пользователям iOS/iPadOS, так и владельцам «Маков».

Вообще это частая ситуация: поскольку операционные системы Apple имеют много общих компонентов, в большинстве случаев уязвимости актуальны не для одной из разработанных компанией ОС, а сразу для всех. Так что здесь «Маки» подводит высокая популярность iPhone: охотятся в первую очередь на пользователей iOS, но уязвимости с тем же успехом могут быть использованы и для атаки на macOS.

Всего в 2023 году в операционных системах Apple было обнаружено 19 уязвимостей нулевого дня, о которых известно, что их активно эксплуатировали злоумышленники. Из них пользователей macOS касались целых 17 уязвимостей, в том числе более десятка с высоким статусом опасности и одна — с критическим.

Уязвимости нулевого дня в iOS и macOS: CVE-2023-42917, CVE-2023-42916, CVE-2023-42824, CVE-2023-41993, CVE-2023-41992, CVE-2023-41991, CVE-2023-41064, CVE-2023-41061, CVE-2023-38606, CVE-2023-37450, CVE-2023-32439, CVE-2023-32435, CVE-2023-32434, CVE-2023-32409, CVE-2023-32373, CVE-2023-28204, CVE-2023-28206, CVE-2023-28205, CVE-2023-23529

Уязвимости нулевого дня в macOS, iOS и iPadOS, обнаруженные в 2023 году, которые активно эксплуатировали злоумышленники

Прочие угрозы, и как защитить свой «Мак»

Также не стоит забывать о том, что существует масса киберугроз, которые вообще не зависят от операционной системы, но в то же время могут быть не менее опасны, чем вредоносное программное обеспечение. В частности, нужно помнить о следующих опасностях:

  • Фишинг и поддельные сайты. Фишинговые письма и сайты работают одинаково и для пользователей Windows, и для владельцев «Маков». Увы, далеко не все поддельные письма и сайты можно распознать невооруженным глазом, так что во многих случаях кража логинов и паролей угрожает даже самым опытным пользователям.
  • Веб-угрозы, в том числе веб-скиммеры. Вредоносным программным обеспечением может быть заражено не только устройство самого пользователя, но и сервер, с которым оно общается. Например, часто злоумышленники взламывают плохо защищенные сайты — в первую очередь онлайн-магазины — и устанавливают на них веб-скиммеры. То есть небольшие программные модули, предназначенные для перехвата и кражи данных банковских карт, которые вводят посетители.
  • Вредоносные браузерные расширения. Это небольшие программные модули, которые устанавливаются прямо в браузер и работают в нем же, — поэтому не зависят от используемой ОС. Несмотря на кажущуюся безобидность, расширения могут очень многое: читать содержимое всех посещаемых страниц, перехватывать вводимую пользователем информацию (пароли, номера карт, ключи от криптокошельков) и даже подменять контент отображаемых страниц.
  • Перехват трафика и атаки «человек посередине» (MITM). Большая часть современных веб-сайтов использует подключение с шифрованием (HTTPS), но иногда все еще можно нарваться на HTTP-сайты, обмен данными с которыми может быть перехвачен. Злоумышленники используют такой перехват в том числе для того, чтобы осуществлять MITM-атаки, подсовывая пользователю вместо настоящей страницы поддельную или зараженную.

Поэтому для безопасности своего устройства, учетных записей в онлайн-сервисах и, главное, той ценной информации, которая в них содержится, следует использовать комплексную защиту как для компьютеров Мак, так и для iPhone/iPad, в которой предусмотрены механизмы для противодействия всему спектру угроз. Например, такую как наш Kaspersky Premium, чья эффективность подтверждена многочисленными наградами независимых тестовых лабораторий.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.