Malware dla macOS nie istnieje? Błąd! Najnowszy przypadek mówi o aplikacji „DumpMedia Spotify Music”. Jak sama nazwa wskazuje, aplikacja zachęca możliwością zrzutu, zapisu muzyki bezpośrednio z serwisu Spotify. Po uruchomieniu zainfekowanego programu i nadaniu uprawnień w rzeczywistości wykonywanych jest szereg złośliwych czynności, które badacze określili jako „wysoce zaawansowane i rzadko spotykane w malware dla macOS”.
Wyjaśnijmy kilka wątpliwości:
1. Znalezione oprogramowanie imitujące legalną aplikację zostało przeskanowane przez serwis VirusTotal, i jak się okazało, było całkowicie niewykrywalne dla wszystkich silników antywirusowych – wówczas.
VirusTotal nie jest odpowiednikiem 1:1 silników antywirusowych, które instalujemy na komputerach z systemami Windows czy macOS. W VirusTotal używane są skanery z linii poleceń, które mogą (ale nie muszą, bo nie jest to jawna informacja) zawierać konfigurację inną niż domyślną. Dodatkowo skanery uruchamiane z parametrami w wierszu poleceń nie posiadają takich samych funkcji ochronnych, które są instalowane w normalnym trybie graficznym, w związku z tym zapewniają gorszą prewencyjną ochronę.
2. MacOS, podobnie jak Windows i Linux prawidłowo skonfigurowane, do zainstalowania oprogramowania potrzebuje uprawnień administratora (hasło).
W systemie macOS, jeżeli zainstalowany program w dowolnym momencie zażąda dostępu do dysku, plików, nagrywania albo do innego elementu określonego w „Ustawienia -> Prywatność”, to system wyświetli stosowny monit ostrzegawczy:
Uprawnienia wszystkich aplikacji w macOS sprawdzisz w „Prywatność i Ochrona” w poszczególnych zakładkach. Dla przykładu zaznaczono kilka z nich:
Elementem wyróżniającym ten atak jest nietypowe zachowanie pliku DMG. Są to instalatory w macOS, odpowiedniki EXE/MSI dla Windows. Zwykle wystarczy kliknąć 2x na instalator lub przeciągną ikonkę z lewej na prawą stronę, ale tutaj, zamiast instalacji, dostępne są następujące opcje:
W pliku DMG zostało przemycone narzędzie, które, jeśli zostanie uruchomione (z nadanymi uprawnieniami przez użytkownika), będzie zbierało informacje z komputera. Zakres kolekcjonowania danych jest całkiem spory:
– informacje z przeglądarki,
– informacje z pęku kluczy Keychain (malware wykorzystuje przechwycone hasło administratora udzielane podczas pierwszego uruchamiania – sprawdza je w tle, czy aby na pewno zostało poprawnie wpisane, jeśli nie – wyświetla monit),
– informacje z aplikacji Notatnik,
– potrafi wykonywać zrzuty ekranu,
– malware szuka też plików o następujących rozszerzeniach, aby je przesłać do operatora:
sh -c osascript<<EOD
tell application "Finder"
set desktopFolder to path to desktop folder set documentsFolder to path to documents folder
set srFiles to every file of desktopFolder whose name extension is in {"txt","rtf","doc", "docx","xIs","xIsx","key","Asc","ppk","rdp","Sql",
"Ovpn","kdbx","cont", “son”,“jpg","dat","pdf","pem"}
set docsFiles to every file of documentsFolder whose name extension is in {"txt","rtf","doc", "docx","xIs","xIsx","Key","asc","ppk","rdp",
"sql","ovpn","kdbx","cont”,"son","jpg","dat","pdf", "pem"} end tell EOD
Analiza oprogramowania dostępna jest na tej stronie. Badacze zwracają uwagę, że DumpMedia Spotify Music to nie jedyne fałszywe narzędzie, które w podobny sposób jest używane do zainstalowania złośliwego oprogramowania w macOS.
Przypominamy, aby zwracać uwagę na pobierane narzędzia i oprogramowanie spoza sklepu Apple. Jak zawsze w takich przypadkach najlepszą ochroną jest edukacja i podstawowa znajomość działania malware, używane sztuczki. Nie zaszkodzi mieć na pokładzie renomowane oprogramowanie anty-malware dla macOS.
Jeżeli komputer wykorzystywany jest do pracy, nauki, rozrywki i jest dzielony z ważnymi danymi, finansami, plikami, warto pomyśleć o dodatkowej kopii zapasowej poza chmurą iCloud. Fajnym rozwiązaniem jest zakupiony specjalnie do tego celu dysk, które może być używany z oficjalną aplikacją TimeMachine do robienia kopii zapasowych. Właściciele komputerów Mac Mini mają o tyle lepiej, że hub z dodatkowymi portami (np. Satechi) może mieć zainstalowany dowolny dysk M2, bez używania dodatkowych kabli, przejściówek itp.
