Warto poszerzyć wiedzę o złośliwym oprogramowaniu dla macOS – nowa wersja trojana atakuje pracowników korporacyjnych

9 sierpnia, 2024

Omawiamy kolejne zagrożenie dla macOS. Zainfekowanie systemu Apple jest nieco trudniejsze niż Windows, co nie oznacza, że złośliwe oprogramowanie „na maka” to mit. Szkodliwe oprogramowanie pisane dla macOS istnieje i jeżeli jest ono odkrywane i analizowane na czynniki pierwsze, jak np. w tym przypadku, to zwykle jest bardziej zaawansowane niż podobne zagrożenia dla Windows. Niedawno zidentyfikowane malware z rodziny tzw. infostealer’ów potwierdza tę tezę, ponieważ wykorzystuje Open Directory Apple (odpowiednik Windows Active Directory) oraz dodatkowo framework SwiftUI od Apple do tworzenia aplikacji dla macOS. Kradzież danych z komputerów Apple nigdy nie była tak łatwa!

Zacznijmy krótkiego wyjaśnienia czym są zagrożenia „InfoStealer” – to kategoria złośliwego oprogramowania z ang. coś, co kradnie informacje: poufne dane i zaszyfrowane. Często ukrywa się pod postacią fałszywych aplikacjach lub jako zagrożenie w załącznikach w postaci pliku, szkodliwego instalatora oprogramowania do pobrania ze strony internetowej. Tym, co wyróżnia nową wersję trojana, jest po pierwsze zdolność do ukrywania się w systemie macOS, a po drugie zaawansowane funkcje, które opisują eksperci.

SwiftUI i API Open Directory firmy Apple

Dzięki SwiftUI możliwe jest szybkie zbudowane prostej i ładnej aplikacji, okienek systemowych. W tym przypadku framework został użyty do stworzenia komunikatów, które przypominają alerty systemowe Apple:

malware dla masos fałszywe powiadomienie
Aplikacja prosi o wpisanie hasła użytkownika.

W dalszej kolejności używane jest API Open Directory od Apple – w rękach cyberprzestępców może stać się potężnym narzędziem do kradzieży danych. I tak jest!

InfoStealer po wpisaniu hasła użytkownika uzyskuje za pomocą API dostęp do systemowych i zaszyfrowanych baz danych, które następnie są przechwytywane i wysyłane na serwery kontrolowane przez cyberprzestępców.


Jak działa nowa wersja InfoStealer’a?

Gdy złośliwe oprogramowanie zostanie zainstalowane na urządzeniu, najpierw stara się pozostać przez jakiś czas niezauważone. Twórcy tego malware’u stworzyli atrakcyjny interfejs okienek, które przypominają legalną aplikację systemową – może to być np. ustawienia systemowe, okno dialogowe logowania. Gdy użytkownik wprowadzi swoje dane InfoStealer przechwytuje te informacje, nawet jeśli są one zaszyfrowane.

Jedna z funkcji Open Directory Apple pozwala przechwytywać w locie wprowadzane dane. Oznacza to, że nawet, jeśli użytkownik zmieni swoje hasła, złośliwe oprogramowanie jest w stanie natychmiast przechwycić te informacje, co czyni nową wersję InfoStealer’a szczególnie niebezpieczną.

Nowa wersja InfoStealer stanowi poważne zagrożenie dla użytkowników macOS!

Utrata danych, w tym haseł do kont bankowych, e-maili czy serwisów społecznościowych, może prowadzić do kradzieży tożsamości, oszustw finansowych oraz innych poważnych konsekwencji. Wielu użytkowników może nie zdawać sobie sprawy z obecności złośliwego oprogramowania na urządzeniu.

Jak się chronić?

Należy zwracać uwagę na pobierane narzędzia i oprogramowanie spoza sklepu Apple. Jak zawsze w takich przypadkach najlepszą ochroną jest edukacja i podstawowa znajomość działania malware, używane sztuczki. Nie zaszkodzi mieć na pokładzie renomowane oprogramowanie anty-malware dla macOS.

Dodatkowo użytkownicy powinni regularnie aktualizować swoje systemy operacyjne i aplikacje, używać menadżerów haseł.

Jeżeli komputer wykorzystywany jest do pracy, nauki, rozrywki i jest dzielony z ważnymi danymi, finansami, plikami, warto pomyśleć o dodatkowej kopii zapasowej poza chmurą iCloud. Świetnym rozwiązaniem jest zakupiony specjalnie do tego celu dysk, które może być używany z oficjalną aplikacją TimeMachine do robienia kopii zapasowych.

Czy ten artykuł był pomocny?

Oceniono: 2 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]