Jeżeli ktoś twierdzi, iż malware dla macOS nie istnieje – nie wierz temu! Najnowszy przypadek mówi o aplikacji „DumpMedia Spotify Music”. Jak sama nazwa wskazuje aplikacja zachęca możliwością zrzutu, zapisu muzyki bezpośrednio z serwisu Spotify. Po uruchomieniu zainfekowanej aplikacji i nadaniu jej uprawnień w rzeczywistości wykonywanych jest szereg złośliwych czynności, które badacze określili jako „wysoce zaawansowane i rzadko spotykane w malware dla macOS”.
Wyjaśnijmy kilka wątpliwości:
1. Znalezione oprogramowanie imitujące legalną aplikację zostało przeskanowane przez serwis VirusTotal, i jak się okazało, było całkowicie niewykrywalne dla wszystkich silników antywirusowych – wówczas.
Chcę przypomnieć, iż VirusTotal nie jest odpowiednikiem 1:1 silników antywirusowych, które instalujemy na komputerach z systemami Windows czy macOS. W VirusTotal używane są skanery z linii poleceń, które mogą (ale nie muszą, bo nie jest to jawna informacja) zawierać konfigurację inną niż domyślnej. Dodatkowo skanery uruchamiane z parametrami w wierszu poleceń nie posiadają takich samych funkcji ochronnych, które są instalowane w normalnym trybie graficznym w związku z tym zapewniają mniejszą prewencyjną ochronę.
2. MacOS, podobnie jak Windows i Linux prawidłowo skonfigurowane, do zainstalowania systemu potrzebuje uprawnień administratora (hasło).
W systemie macOS, o ile zainstalowany program w dowolnym momencie zażąda dostępu do dysku, plików, nagrywania albo do innego elementu określonego w „Ustawienia -> Prywatność”, to system wyświetli stosowny monit ostrzegawczy:
Dla przykładu pokazano TeamViewer , które wymaga uprawnień, aby udostępnić drugiej osobie podgląd naszego pulpitu.
Uprawnienia wszystkich aplikacji w macOS sprawdzisz w „Prywatność i Ochrona” w poszczególnych zakładkach. Dla przykładu zaznaczono kilka z nich:
Elementem wyróżniającym ten atak jest nietypowe zachowanie pliku DMG (są to instalatory w macOS, odpowiedniki EXE/MSI dla Windows). Zwykle wystarczy kliknąć 2x na instalator lub przeciągną ikonkę z lewej na prawą stronę, ale tutaj, zamiast instalacji, dostępne są następujące opcje:
W pliku DMG zostało przemycone narzędzie, które, jeżeli zostanie uruchomione (z nadanymi uprawnieniami przez użytkownika), będzie zbierało informacje z komputera. Zakres kolekcjonowania danych jest całkiem spory:
– informacje z przeglądarki,
– informacje z pęku kluczy Keychain (malware wykorzystuje przechwycone hasło administratora udzielane podczas pierwszego uruchamiania – sprawdza je w tle, czy aby na pewno zostało poprawnie wpisane, jeżeli nie – wyświetla monit),
– informacje z aplikacji Notatnik,
– potrafi wykonywać zrzuty ekranu,
– malware szuka też plików o następujących rozszerzeniach, aby je przesłać do operatora:
Analiza systemu dostępna jest na tej stronie. Badacze zwracają uwagę, iż DumpMedia Spotify Music to nie jedyne fałszywe narzędzie, które w podobny sposób jest używane do zainstalowania złośliwego systemu w macOS.
Przypominamy, aby zwracać uwagę na pobierane narzędzia i oprogramowanie spoza sklepu Apple. Jak zawsze w takich przypadkach najlepszą ochroną jest edukacja i podstawowa znajomość działania malware, używane sztuczki. Mie zaszkodzi mieć na pokładzie renomowane oprogramowanie anty-malware dla macOS.
Jeżeli komputer wykorzystywany jest do pracy, nauki, rozrywki i jest dzielony z ważnymi danymi, finansami, plikami, warto pomyśleć o dodatkowej kopii zapasowej poza chmurą iCloud. Fajnym rozwiązaniem jest zakupiony specjalnie do tego celu dysk, które może być używany z oficjalną aplikacją TimeMachine do robienia kopii zapasowej. Właściciele komputerów Mac Mini mają o tyle lepiej, iż hub z dodatkowymi portami (np. Satechi) może mieć zainstalowany dodatkowy dysk M2, bez używania dodatkowych kabli, przejściówek itp.
