Безопасны ли «Маки»? Угрозы для пользователей macOS

Многие пользователи устройств Apple считают, что операционная система macOS настолько безопасна, что никакие киберугрозы им не страшны, поэтому о дополнительной защите «Маков» можно не беспокоиться. Это, конечно же, совсем не так: хотя для macOS существует меньше вредоносного ПО, оно все же встречается гораздо чаще, чем хотелось бы думать владельцам «яблочных» устройств.

В этом посте мы рассмотрим актуальные угрозы, с которыми сталкиваются пользователи macOS, и расскажем о том, как обеспечить эффективную защиту своего «Мака». В качестве иллюстрации того факта, что вирусы для macOS очень даже существуют, мы используем три свежих исследования нескольких семейств вредоносного ПО, которые были опубликованы в течение последних нескольких недель.

BlueNoroff атакует пользователей macOS и ворует криптовалюту

В конце октября 2023 года наши исследователи обнаружили нового трояна для macOS, который предположительно связан с BlueNoroff — «коммерческим крылом» APT-группировки Lazarus. Эта подгруппа специализируется на финансовых атаках и, в частности, вплотную занимается двумя вещами: во-первых, атаками на систему SWIFT — включая знаменитое ограбление Центрального банка Бангладеш, — а во-вторых, кражей криптовалют у организаций и частных лиц.

Обнаруженный троян-загрузчик для macOS распространяется внутри вредоносных архивов. Он замаскирован под PDF-документ, озаглавленный «Криптоактивы и их риски для финансовой стабильности» (Crypto-assets and their risks for financial stability), и снабжен иконкой, имитирующей превью этого документа.

Титульная страница PDF-обманки, которую троян скачивает и показывает пользователю при запуске файла из зараженного архива. Источник

После того как пользователь кликает по трояну, мимикрирующему под PDF, запускается скрипт, который загружает из Интернета и действительно открывает соответствующий PDF-документ. Но, конечно же, это далеко не все, что происходит. Основная задача трояна — загрузить еще один вирус, который собирает информацию о зараженной системе, отправляет ее на командный сервер и далее ожидает команды на выполнение одного из двух возможных действий: либо самоудаления, либо сохранения в файл и выполнения вредоносного кода, присланного ему в ответ от сервера.

Прокси-троян в пиратском программном обеспечении для macOS

В конце ноября 2023 года наши исследователи обнаружили и другого зловреда, угрожающего пользователям «Маков», — прокси-трояна, которого распространяли вместе с пиратским программным обеспечением для macOS. В частности, этого трояна добавляли в PKG-файлы взломанных программ для обработки видео, инструментов для восстановления данных, сетевых утилит, конвертеров файлов и разного другого софта — полный список обнаруженных нашими экспертами зараженных установщиков можно посмотреть в конце отчета, опубликованного на Securelist.

Как уже было сказано выше, этот зловред принадлежит к типу прокси-троянов — вредоносного ПО, которое организует на зараженном компьютере прокси-сервер, то есть узел для перенаправления интернет-трафика. В дальнейшем киберпреступники могут задействовать такие зараженные устройства для организации платной сети прокси-серверов, получая деньги от желающих пользоваться подобными услугами.

Или же владельцы трояна могут использовать зараженные компьютеры напрямую, совершая от лица жертвы какие-либо преступные действия — от атак на веб-сайты, компании и других пользователей до покупки оружия, наркотиков и прочих незаконных товаров.

Стилер Atomic в фейковых обновлениях браузера Safari

В том же ноябре 2023 года была обнаружена новая вредоносная кампания по распространению еще одного трояна для macOS, известного под названием Atomic и принадлежащего к классу инфостилеров. Зловреды этой категории занимаются поиском, извлечением и отправкой своим создателям всякого рода ценной информации, которая может обнаружиться на компьютере жертвы, — в частности, данных, сохраненных в браузерах. Основную ценность для стилеров представляют логины и пароли, реквизиты банковских карт, ключи от криптокошельков и тому подобные вещи.

Впервые троян Atomic был обнаружен и описан еще в марте 2023 года. Новость состоит в том, что теперь для распространения трояна Atomic злоумышленники начали использовать фейковые обновления браузеров Safari и Chrome. Эти обновления загружаются с вредоносных страниц, очень правдоподобно имитирующих сайты, принадлежащие Apple и Google соответственно.

Сайт с фейковыми обновлениями браузера Safari, которые на самом деле содержат внутри стилер Atomic. Источник

Будучи запущенным в системе, троян-стилер Atomic пытается украсть с компьютера жертвы следующую информацию:

• куки-файлы;
• логины-пароли и реквизиты банковских карт, сохраненные в браузере;
• пароли из системы хранения паролей macOS (Keychain);
• сохраненные на диске файлы;
• сохраненные данные более 50 популярных криптовалютных расширений.

Уязвимости нулевого дня в macOS

Увы, даже если вы не скачиваете подозрительные файлы, не открываете вложения из неизвестных источников и вообще ни по чему подозрительному не кликаете, это вовсе не гарантирует безопасность. Следует помнить о том, что в любом программном обеспечении всегда есть уязвимости, которые злоумышленники могут использовать для заражения устройства без каких-либо активных действий пользователя или почти без них. И операционная система macOS тут совсем не исключение.

Опять-таки совсем недавно были обнаружены две уязвимости нулевого дня в браузере Safari — судя по сообщению Apple, к моменту обнаружения их уже активно эксплуатировали киберпреступники. Просто заманив пользователя на вредоносную страницу, злоумышленники заражают устройство жертвы без каких-либо дополнительных действий с ее стороны, тем самым получая контроль над устройством и возможность воровать с него данные. Эти уязвимости актуальны для всех устройств, на которых есть браузер Safari, — то есть их эксплуатация угрожает как пользователям iOS/iPadOS, так и владельцам «Маков».

Вообще это частая ситуация: поскольку операционные системы Apple имеют много общих компонентов, в большинстве случаев уязвимости актуальны не для одной из разработанных компанией ОС, а сразу для всех. Так что здесь «Маки» подводит высокая популярность iPhone: охотятся в первую очередь на пользователей iOS, но уязвимости с тем же успехом могут быть использованы и для атаки на macOS.

Всего в 2023 году в операционных системах Apple было обнаружено 19 уязвимостей нулевого дня, о которых известно, что их активно эксплуатировали злоумышленники. Из них пользователей macOS касались целых 17 уязвимостей, в том числе более десятка с высоким статусом опасности и одна — с критическим.

Уязвимости нулевого дня в macOS, iOS и iPadOS, обнаруженные в 2023 году, которые активно эксплуатировали злоумышленники

Прочие угрозы, и как защитить свой «Мак»

Также не стоит забывать о том, что существует масса киберугроз, которые вообще не зависят от операционной системы, но в то же время могут быть не менее опасны, чем вредоносное программное обеспечение. В частности, нужно помнить о следующих опасностях:

• Фишинг и поддельные сайты. Фишинговые письма и сайты работают одинаково и для пользователей Windows, и для владельцев «Маков». Увы, далеко не все поддельные письма и сайты можно распознать невооруженным глазом, так что во многих случаях кража логинов и паролей угрожает даже самым опытным пользователям.
• Веб-угрозы, в том числе веб-скиммеры. Вредоносным программным обеспечением может быть заражено не только устройство самого пользователя, но и сервер, с которым оно общается. Например, часто злоумышленники взламывают плохо защищенные сайты — в первую очередь онлайн-магазины — и устанавливают на них веб-скиммеры. То есть небольшие программные модули, предназначенные для перехвата и кражи данных банковских карт, которые вводят посетители.
• Вредоносные браузерные расширения. Это небольшие программные модули, которые устанавливаются прямо в браузер и работают в нем же, — поэтому не зависят от используемой ОС. Несмотря на кажущуюся безобидность, расширения могут очень многое: читать содержимое всех посещаемых страниц, перехватывать вводимую пользователем информацию (пароли, номера карт, ключи от криптокошельков) и даже подменять контент отображаемых страниц.
• Перехват трафика и атаки «человек посередине» (MITM). Большая часть современных веб-сайтов использует подключение с шифрованием (HTTPS), но иногда все еще можно нарваться на HTTP-сайты, обмен данными с которыми может быть перехвачен. Злоумышленники используют такой перехват в том числе для того, чтобы осуществлять MITM-атаки, подсовывая пользователю вместо настоящей страницы поддельную или зараженную.

Поэтому для безопасности своего устройства, учетных записей в онлайн-сервисах и, главное, той ценной информации, которая в них содержится, следует использовать комплексную защиту как для компьютеров Мак, так и для iPhone/iPad, в которой предусмотрены механизмы для противодействия всему спектру угроз. Например, такую как наш Kaspersky Premium, чья эффективность подтверждена многочисленными наградами независимых тестовых лабораторий.