Omawiamy kolejne zagrożenie dla macOS. Zainfekowanie systemu Apple jest nieco trudniejsze niż Windows, co nie oznacza, iż złośliwe oprogramowanie „na maka” to mit. Szkodliwe oprogramowanie pisane dla macOS istnieje i o ile jest ono odkrywane i analizowane na czynniki pierwsze, jak np. w tym przypadku, to zwykle jest bardziej zaawansowane niż podobne zagrożenia dla Windows. Niedawno zidentyfikowane malware z rodziny tzw. infostealer’ów potwierdza tę tezę, ponieważ wykorzystuje Open Directory Apple (odpowiednik Windows Active Directory) oraz dodatkowo framework SwiftUI od Apple do tworzenia aplikacji dla macOS. Kradzież danych z komputerów Apple nigdy nie była tak łatwa!
Zacznijmy krótkiego wyjaśnienia czym są zagrożenia „InfoStealer” – to kategoria złośliwego systemu z ang. coś, co kradnie informacje: poufne dane i zaszyfrowane. Często ukrywa się pod postacią fałszywych aplikacjach lub jako zagrożenie w załącznikach w postaci pliku, szkodliwego instalatora systemu do pobrania ze strony internetowej. Tym, co wyróżnia nową wersję trojana, jest po pierwsze zdolność do ukrywania się w systemie macOS, a po drugie zaawansowane funkcje, które opisują eksperci.
SwiftUI i API Open Directory firmy Apple
Dzięki SwiftUI możliwe jest szybkie zbudowane prostej i ładnej aplikacji, okienek systemowych. W tym przypadku framework został użyty do stworzenia komunikatów, które przypominają alerty systemowe Apple:
Aplikacja prosi o wpisanie hasła użytkownika.
W dalszej kolejności używane jest API Open Directory od Apple – w rękach cyberprzestępców może stać się potężnym narzędziem do kradzieży danych. I tak jest!
InfoStealer po wpisaniu hasła użytkownika uzyskuje dzięki API dostęp do systemowych i zaszyfrowanych baz danych, które następnie są przechwytywane i wysyłane na serwery kontrolowane przez cyberprzestępców.
Jak działa nowa wersja InfoStealer’a?
Gdy złośliwe oprogramowanie zostanie zainstalowane na urządzeniu, najpierw stara się pozostać przez jakiś czas niezauważone. Twórcy tego malware’u stworzyli atrakcyjny interfejs okienek, które przypominają legalną aplikację systemową – może to być np. ustawienia systemowe, okno dialogowe logowania. Gdy użytkownik wprowadzi swoje dane InfoStealer przechwytuje te informacje, choćby jeżeli są one zaszyfrowane.
Jedna z funkcji Open Directory Apple pozwala przechwytywać w locie wprowadzane dane. Oznacza to, iż nawet, jeżeli użytkownik zmieni swoje hasła, złośliwe oprogramowanie jest w stanie natychmiast przechwycić te informacje, co czyni nową wersję InfoStealer’a szczególnie niebezpieczną.
Nowa wersja InfoStealer stanowi poważne zagrożenie dla użytkowników macOS!
Utrata danych, w tym haseł do kont bankowych, e-maili czy serwisów społecznościowych, może prowadzić do kradzieży tożsamości, oszustw finansowych oraz innych poważnych konsekwencji. Wielu użytkowników może nie zdawać sobie sprawy z obecności złośliwego systemu na urządzeniu.
Jak się chronić?
Należy zwracać uwagę na pobierane narzędzia i oprogramowanie spoza sklepu Apple. Jak zawsze w takich przypadkach najlepszą ochroną jest edukacja i podstawowa znajomość działania malware, używane sztuczki. Nie zaszkodzi mieć na pokładzie renomowane oprogramowanie anty-malware dla macOS.
Dodatkowo użytkownicy powinni regularnie aktualizować swoje systemy operacyjne i aplikacje, używać menadżerów haseł.
Jeżeli komputer wykorzystywany jest do pracy, nauki, rozrywki i jest dzielony z ważnymi danymi, finansami, plikami, warto pomyśleć o dodatkowej kopii zapasowej poza chmurą iCloud. Świetnym rozwiązaniem jest zakupiony specjalnie do tego celu dysk, które może być używany z oficjalną aplikacją TimeMachine do robienia kopii zapasowych.
