Malware w macOS może być prawdziwym zagrożeniem – analiza przypadku

Wyjaśnijmy kilka wątpliwości:

1. Znalezione oprogramowanie imitujące legalną aplikację zostało przeskanowane przez serwis VirusTotal, i jak się okazało, było całkowicie niewykrywalne dla wszystkich silników antywirusowych – wówczas.

VirusTotal nie jest odpowiednikiem 1:1 silników antywirusowych, które instalujemy na komputerach z systemami Windows czy macOS. W VirusTotal używane są skanery z linii poleceń, które mogą (ale nie muszą, bo nie jest to jawna informacja) zawierać konfigurację inną niż domyślną. Dodatkowo skanery uruchamiane z parametrami w wierszu poleceń nie posiadają takich samych funkcji ochronnych, które są instalowane w normalnym trybie graficznym, w związku z tym zapewniają gorszą prewencyjną ochronę.

Dalsza część artykułu pod materiałem wideo

2. MacOS, podobnie jak Windows i Linux prawidłowo skonfigurowane, do zainstalowania oprogramowania potrzebuje uprawnień administratora (hasło).

W systemie macOS, jeżeli zainstalowany program w dowolnym momencie zażąda dostępu do dysku, plików, nagrywania albo do innego elementu określonego w "Ustawienia -> Prywatność", to system wyświetli stosowny monit ostrzegawczy:

Dla przykładu pokazano TeamViewer , które wymaga uprawnień, aby udostępnić drugiej osobie podgląd naszego pulpitu.

Uprawnienia wszystkich aplikacji w macOS sprawdzisz w "Prywatność i Ochrona" w poszczególnych zakładkach. Dla przykładu zaznaczono kilka z nich:

Elementem wyróżniającym ten atak jest nietypowe zachowanie pliku DMG. Są to instalatory w macOS, odpowiedniki EXE/MSI dla Windows. Zwykle wystarczy kliknąć 2x na instalator lub przeciągną ikonkę z lewej na prawą stronę, ale tutaj, zamiast instalacji, dostępne są następujące opcje:

W pliku DMG zostało przemycone narzędzie, które, jeśli zostanie uruchomione (z nadanymi uprawnieniami przez użytkownika), będzie zbierało informacje z komputera. Zakres kolekcjonowania danych jest całkiem spory:

• informacje z przeglądarki,
• informacje z pęku kluczy Keychain (malware wykorzystuje przechwycone hasło administratora udzielane podczas pierwszego uruchamiania – sprawdza je w tle, czy aby na pewno zostało poprawnie wpisane, jeśli nie – wyświetla monit),
• informacje z aplikacji Notatnik,
• potrafi wykonywać zrzuty ekranu,
• malware szuka też plików o następujących rozszerzeniach, aby je przesłać do operatora:

1. sh -c osascript<<EOD
2. tell application "Finder"
3. set desktopFolder to path to desktop folder set documentsFolder to path to documents folder
4. set srFiles to every file of desktopFolder whose name extension is in{"txt","rtf","doc", "docx","xIs","xIsx","key","Asc","ppk","rdp","Sql",
5. "Ovpn","kdbx","cont", "son","jpg","dat","pdf","pem"}
6. set docsFiles to every file of documentsFolder whose name extension is in {"txt","rtf","doc", "docx","xIs","xIsx","Key","asc","ppk","rdp",
7. "sql","ovpn","kdbx","cont","son","jpg","dat","pdf", "pem"} end tell EOD

Analiza oprogramowania dostępna jest na tej stronie. Badacze zwracają uwagę, że DumpMedia Spotify Music to nie jedyne fałszywe narzędzie, które w podobny sposób jest używane do zainstalowania złośliwego oprogramowania w macOS.

Przypominamy, aby zwracać uwagę na pobierane narzędzia i oprogramowanie spoza sklepu Apple. Jak zawsze w takich przypadkach najlepszą ochroną jest edukacja i podstawowa znajomość działania malware, używane sztuczki. Nie zaszkodzi mieć na pokładzie renomowane oprogramowanie anty-malware dla macOS.

Jeżeli komputer wykorzystywany jest do pracy, nauki, rozrywki i jest dzielony z ważnymi danymi, finansami, plikami, warto pomyśleć o dodatkowej kopii zapasowej poza chmurą iCloud. Fajnym rozwiązaniem jest zakupiony specjalnie do tego celu dysk, które może być używany z oficjalną aplikacją TimeMachine do robienia kopii zapasowych. Właściciele komputerów Mac Mini mają o tyle lepiej, że hub z dodatkowymi portami (np. Satechi) może mieć zainstalowany dowolny dysk M2, bez używania dodatkowych kabli, przejściówek itp.

Autor: Adrian Ścibor