На компьютерах Mac обнаружен новый вирус, заразивший 30 тыс. машин в 153 странах
Около 30 000 компьютеров Mac в 153 странах были заражены новым штаммом вредоносных программ, который исследователи в области безопасности называют Silver Sparrow.
Обнаруженный исследователями Red Canary, вирус находится на своих хостах в ожидании полезной нагрузки, которая так и не была запущена.
"Хотя мы еще не наблюдали, как Silver Sparrow поставляет дополнительные вредоносные полезные нагрузки, его перспективная совместимость с чипом M1, глобальный охват, относительно высокий уровень заражения и операционная зрелость предполагают, что вирус представляет собой достаточно серьезную угрозу, имеющую уникальные возможности для создания потенциально опасного доступа к системе в любой момент", - написал в четверг в блоге компании аналитик Red Canary Intelligence Тони Ламберт.
Хотя исследователи Malwarebytes выявили 29139 конечных точек macOS, зараженных Silver Sparrow, вредоносное ПО может поразить гораздо больше машин, утверждает Тони Анскомб, главный специалист по безопасности в Eset.
"Судя по тому, что было впервые замечено, вредоносная программа может иметь более широкое распространение, чем указано в раскрытии", - сказал эксперт. "Число 30K про исходит от одного поставщика средств безопасности, а не от всей среды macOS".
Тем не менее, директор Malwarebytes по Mac и мобильным устройствам Томас Рид заявил, что плохое приложение может обнаружиться, когда оно вот-вот исчезнет.
"Это может быть вирус, котор ый уже исчерпал себя", - говорит эксперт.
"Есть файл, который запускает самоудаление вредоносного ПО, - пояснил он. "Этот файл составляет большую часть наших обнаружений на данный момент. Создатель, похоже, сейчас отправляет команду самоуничтожения".
Заблокировано Apple
В официальном заявлении, Apple сообщила, что после обнаружения вредоносного ПО, компания отозвала сертификаты учетных записей разработчиков, которые использовались для подписи пакетов, что предотвратило заражение новых компьютеров.
Apple также отметила, что нет никаких доказательств того, что вредоносное ПО, идентифицированное исследователями, доставляло вредоносные данные зараженным пользователям.
Представитель компании добавил, что она принимает ряд мер для обеспечения безопасности своих пользователей, включая технические механизмы, такие как служба Apple, для защиты пользователей путем обнаружения вредоносных программ и их блокировки, чтобы они не могли работать.
Однако в прошлом эта услуга была далеко не идеальной, утверждает Джошуа А. Лонг, главный аналитик по безопасности компании Intego, производителя программного обеспечения безопасности и конфиденциальности для Mac, в Остине, штат Техас.
"Более важно то, что, согласно нашему собственному исследованию в Intego, это, по крайней мере, шестой крупный случай, когда процесс службы защиты Apple не смог обнаружить семейства вредоносных программ, которые были либо распространены в сети, либо загружены на VirusTotal", - сказал аналитик.
Поиск источника заражения
Как зараженные машины контактировали с вредоносным ПО, на данный момент остается загадкой. "Исследователи вредоносных программ еще не определили точный метод доставки", - сказал Лонг.
"Одна из теорий заключается в том, что конечные пользователи могли столкнуться с вредоносным ПО через зараженные результаты поиска Google - результаты поиска, ведущие к законным сайтам, которые были скомпрометированы злоумышленником, или вредоносным сайтам, которые имеют высокий рейтинг по определенным поисковым запросам", - добавил он.
Другая возможность - это вредоносные расширения браузера, отметила директор разведки Red Canary Кэти Никелс во время сеанса прямой трансляции в Twitter в понедельник.
Лонг добавил, что существует две версии вредоносного ПО, также известного как Slisp. Один скомпилирован для Intel Mac. Другой - универсальный двоичный файл, который работает на машинах M1 как Intel, так и ARM.
"Однако стоит отметить, что компьютеры Mac M1 часто могут запускать вредоносное ПО для Mac, скомпилированное только для Intel, благодаря технологии Apple Rosetta, которая позволяет исполнять двоичные файлы Intel на компьютерах Mac M1", - добавил он.
"С этого момента можно ожидать, что практически все вредоносные программы для Mac будут работать на обеих архитектурах", - предсказал он.
Вредоносное ПО ARMs Race
Ламберт согласился, что архитектура Apple M1 в будущем станет мишенью для злоумышленников.
"Включение двоичного файла, скомпилированного для использования в системах, работающих на новом процессоре Apple M1 ARM, важно, потому что это говорит о том, что разработчики Silver Sparrow думают о будущем, а не просто пишут свое вредоносное ПО для совместимости с теми наборами микросхем, которые в настоящее время имеют наибольшую долю рынка", - говорит эксперт.
Кристофер Бадд, старший менеджер по глобальным коммуникациям с угрозами в Avast, производитель программного обеспечения для обеспечения безопасности, включая антивирусные программы для Mac, объяснил, что авторы вредоносных программ - это в основном бизнесмены. Они адаптируются в зависимости от рыночных тенденций.
"Включение этого вредоносного ПО в новые системы M1 показывает, что эти авторы считают, что для этой платформы существует или будет достаточно рынка, чтобы выделить на нее ресурсы", - сказал он в интервью.
"Тот факт, что авторы вредоносных программ и рекламного ПО для macOS компилируют двоичные файлы для M1, был очевиден, ожидаем и не оправдывает недавних сенсаций", - добавил инженер Eset Detection Михал Малик.
Сценарий предварительной установки
Ориентация на архитектуру ARM от Apple - не единственный способ, которым Silver Sparrow отличается от большинства вредоносных программ для Mac, встречающихся в сети.
"Большинство вредоносных программ, которые мы наблюдаем для систем macOS, в конечном итоге поставляют рекламное ПО и связанные с ним полезные нагрузки", - пояснил Ламберт.
"Они, как правило, используют сценарии предварительной установки, последующей установки или другие сценарии оболочки внутри программ установки PKG и DMG, - продолжил он. "Хотя мы видели, что законное программное обеспечение использует JavaScript API установщика macOS, мы никогда не наблюдали такого с вредоносным ПО для macOS".
Анскомб из Eset отметил, что настойчивость и нетрадиционный метод установки являются важными аспектами Silver Sparrow, но уже существуют более опасные образцы вредоносного ПО.
"Опасность этого вредоносного ПО зависит от действий автора по доставке полезной нагрузки и его намерений", - сказал он.
"Существует также риск того, что другой злоумышленник может попытаться задействовать механизм и взять его под контроль", - добавил он.
Миф о неуязвивом Mac
Что пользователи могут сделать, чтобы защитить себя от Silver Sparrow? Ламберт рекомендует обратиться к сторонней защите.
"Как правило, мы обычно рекомендуем пользователям использовать сторонние антивирусные программы или продукты для защиты от вредоносных программ, чтобы дополнить существующие средства защиты от в ирусов, поддерживаемые производителями операционных систем", - сказал он.
"В данном случае мы говорим конкретно о macOS", - продолжил он. "этот совет так же применим к машинам под управлением Windows".
Этот совет может показаться сомнительным для владельцев Mac, которым сказали, что их машины защищены от заражения вредоносным ПО.
"Заразить Mac не так уж и сложно, - заметил Рид. "Единственное, что мешало в прошлом, - это доля рынка".
"Зачем вам тратить время на создание вредоносного ПО для системы, занимающей довольно низкую долю рынка по сравнению с Windows?", - задает вопрос эксперт. "Но по мере увеличения доли рынка Mac они становятся все более популярной целью, особенно потому, что многие люди, у которых есть Mac, - это люди, на которых вы хотели бы ориентироваться, например, генеральные директора и другие хорошо оплачиваемые профессионалы".