Безопасны ли «Маки»? Угрозы для пользователей macOS

  • Автор темы Автор темы KrevetO4ka
  • Дата начала Дата начала
KrevetO4ka

KrevetO4ka

Активный пользователь
Регистрация
01.06.2025
Сообщения
1 917
Реакции
1 300
Баллы
113
Так ли безопасны «Маки», как думают их владельцы? Несколько свежих историй о вредоносном программном обеспечении, которое атакует пользователей macOS.
 
Многие пользователи устройств Apple считают, что операционная система macOS настолько безопасна, что никакие киберугрозы им не страшны, поэтому о дополнительной защите «Маков» можно не беспокоиться. Это, конечно же, совсем не так: хотя для macOS существует меньше вредоносного ПО, оно все же встречается гораздо чаще, чем хотелось бы думать владельцам «яблочных» устройств.

В этом посте мы рассмотрим актуальные угрозы, с которыми сталкиваются пользователи macOS, и расскажем о том, как обеспечить эффективную защиту своего «Мака». В качестве иллюстрации того факта, что вирусы для macOS очень даже существуют, мы используем три свежих исследования нескольких семейств вредоносного ПО, которые были опубликованы в течение последних нескольких недель.

1000007873.jpg
 
BlueNoroff атакует пользователей macOS и ворует криптовалюту
В конце октября 2023 года наши исследователи обнаружили нового трояна для macOS, который предположительно связан с BlueNoroff — «коммерческим крылом» APT-группировки Lazarus. Эта подгруппа специализируется на финансовых атаках и, в частности, вплотную занимается двумя вещами: во-первых, атаками на систему SWIFT — включая знаменитое ограбление Центрального банка Бангладеш, — а во-вторых, кражей криптовалют у организаций и частных лиц.

Обнаруженный троян-загрузчик для macOS распространяется внутри вредоносных архивов. Он замаскирован под PDF-документ, озаглавленный «Криптоактивы и их риски для финансовой стабильности» (Crypto-assets and their risks for financial stability), и снабжен иконкой, имитирующей превью этого документа.

1000007874.png

После того как пользователь кликает по трояну, мимикрирующему под PDF, запускается скрипт, который загружает из Интернета и действительно открывает соответствующий PDF-документ. Но, конечно же, это далеко не все, что происходит. Основная задача трояна — загрузить еще один вирус, который собирает информацию о зараженной системе, отправляет ее на командный сервер и далее ожидает команды на выполнение одного из двух возможных действий: либо самоудаления, либо сохранения в файл и выполнения вредоносного кода, присланного ему в ответ от сервера.
 
Прокси-троян в пиратском программном обеспечении для macOS
В конце ноября 2023 года наши исследователи обнаружили и другого зловреда, угрожающего пользователям «Маков», — прокси-трояна, которого распространяли вместе с пиратским программным обеспечением для macOS. В частности, этого трояна добавляли в PKG-файлы взломанных программ для обработки видео, инструментов для восстановления данных, сетевых утилит, конвертеров файлов и разного другого софта — полный список обнаруженных нашими экспертами зараженных установщиков можно посмотреть в конце отчета, опубликованного на Securelist.

Как уже было сказано выше, этот зловред принадлежит к типу прокси-троянов — вредоносного ПО, которое организует на зараженном компьютере прокси-сервер, то есть узел для перенаправления интернет-трафика. В дальнейшем киберпреступники могут задействовать такие зараженные устройства для организации платной сети прокси-серверов, получая деньги от желающих пользоваться подобными услугами.

Или же владельцы трояна могут использовать зараженные компьютеры напрямую, совершая от лица жертвы какие-либо преступные действия — от атак на веб-сайты, компании и других пользователей до покупки оружия, наркотиков и прочих незаконных товаров
 
Стилер Atomic в фейковых обновлениях браузера Safari
В том же ноябре 2023 года была обнаружена новая вредоносная кампания по распространению еще одного трояна для macOS, известного под названием Atomic и принадлежащего к классу инфостилеров. Зловреды этой категории занимаются поиском, извлечением и отправкой своим создателям всякого рода ценной информации, которая может обнаружиться на компьютере жертвы, — в частности, данных, сохраненных в браузерах. Основную ценность для стилеров представляют логины и пароли, реквизиты банковских карт, ключи от криптокошельков и тому подобные вещи.

Впервые троян Atomic был обнаружен и описан еще в марте 2023 года. Новость состоит в том, что теперь для распространения трояна Atomic злоумышленники начали использовать фейковые обновления браузеров Safari и Chrome. Эти обновления загружаются с вредоносных страниц, очень правдоподобно имитирующих сайты, принадлежащие Apple и Google соответственно.

1000007875.jpg


Будучи запущенным в системе, троян-стилер Atomic пытается украсть с компьютера жертвы следующую информацию:

куки-файлы;
логины-пароли и реквизиты банковских карт, сохраненные в браузере;
пароли из системы хранения паролей macOS (Keychain);
сохраненные на диске файлы;
сохраненные данные более 50 популярных криптовалютных расширений.
 
Уязвимости нулевого дня в macOS
Увы, даже если вы не скачиваете подозрительные файлы, не открываете вложения из неизвестных источников и вообще ни по чему подозрительному не кликаете, это вовсе не гарантирует безопасность. Следует помнить о том, что в любом программном обеспечении всегда есть уязвимости, которые злоумышленники могут использовать для заражения устройства без каких-либо активных действий пользователя или почти без них. И операционная система macOS тут совсем не исключение.

Опять-таки совсем недавно были обнаружены две уязвимости нулевого дня в браузере Safari — судя по сообщению Apple, к моменту обнаружения их уже активно эксплуатировали киберпреступники. Просто заманив пользователя на вредоносную страницу, злоумышленники заражают устройство жертвы без каких-либо дополнительных действий с ее стороны, тем самым получая контроль над устройством и возможность воровать с него данные. Эти уязвимости актуальны для всех устройств, на которых есть браузер Safari, — то есть их эксплуатация угрожает как пользователям iOS/iPadOS, так и владельцам «Маков».
 
Уязвимости нулевого дня в macOS
Увы, даже если вы не скачиваете подозрительные файлы, не открываете вложения из неизвестных источников и вообще ни по чему подозрительному не кликаете, это вовсе не гарантирует безопасность. Следует помнить о том, что в любом программном обеспечении всегда есть уязвимости, которые злоумышленники могут использовать для заражения устройства без каких-либо активных действий пользователя или почти без них. И операционная система macOS тут совсем не исключение

.Опять-таки совсем недавно были обнаружены две уязвимости нулевого дня в браузере Safari — судя по сообщению Apple, к моменту обнаружения их уже активно эксплуатировали киберпреступники. Просто заманив пользователя на вредоносную страницу, злоумышленники заражают устройство жертвы без каких-либо дополнительных действий с ее стороны, тем самым получая контроль над устройством и возможность воровать с него данные. Эти уязвимости актуальны для всех устройств, на которых есть браузер Safari, — то есть их эксплуатация угрожает как пользователям iOS/iPadOS, так и владельцам «Маков».

Вообще это частая ситуация: поскольку операционные системы Apple имеют много общих компонентов, в большинстве случаев уязвимости актуальны не для одной из разработанных компанией ОС, а сразу для всех. Так что здесь «Маки» подводит высокая популярность iPhone: охотятся в первую очередь на пользователей iOS, но уязвимости с тем же успехом могут быть использованы и для атаки на macOS.

Всего в 2023 году в операционных системах Apple было обнаружено 19 уязвимостей нулевого дня, о которых известно, что их активно эксплуатировали злоумышленники. Из них пользователей macOS касались целых 17 уязвимостей, в том числе более десятка с высоким статусом опасности и одна — с критическим.

1000007876.png
 
Прочие угрозы, и как защитить свой «Мак»
Также не стоит забывать о том, что существует масса киберугроз, которые вообще не зависят от операционной системы, но в то же время могут быть не менее опасны, чем вредоносное программное обеспечение. В частности, нужно помнить о следующих опасностях:

Фишинг и поддельные сайты. Фишинговые письма и сайты работают одинаково и для пользователей Windows, и для владельцев «Маков». Увы, далеко не все поддельные письма и сайты можно распознать невооруженным глазом, так что во многих случаях кража логинов и паролей угрожает даже самым опытным пользователям.
Веб-угрозы, в том числе веб-скиммеры. Вредоносным программным обеспечением может быть заражено не только устройство самого пользователя, но и сервер, с которым оно общается. Например, часто злоумышленники взламывают плохо защищенные сайты — в первую очередь онлайн-магазины — и устанавливают на них веб-скиммеры. То есть небольшие программные модули, предназначенные для перехвата и кражи данных банковских карт, которые вводят посетители.
Вредоносные браузерные расширения. Это небольшие программные модули, которые устанавливаются прямо в браузер и работают в нем же, — поэтому не зависят от используемой ОС. Несмотря на кажущуюся безобидность, расширения могут очень многое: читать содержимое всех посещаемых страниц, перехватывать вводимую пользователем информацию (пароли, номера карт, ключи от криптокошельков) и даже подменять контент отображаемых страниц.
Перехват трафика и атаки «человек посередине» (MITM). Большая часть современных веб-сайтов использует подключение с шифрованием (HTTPS), но иногда все еще можно нарваться на HTTP-сайты, обмен данными с которыми может быть перехвачен. Злоумышленники используют такой перехват в том числе для того, чтобы осуществлять MITM-атаки, подсовывая пользователю вместо настоящей страницы поддельную или зараженную.
 
Поэтому для безопасности своего устройства, учетных записей в онлайн-сервисах и, главное, той ценной информации, которая в них содержится, следует использовать комплексную защиту как для компьютеров Мак, так и для iPhone/iPad, в которой предусмотрены механизмы для противодействия всему спектру угроз. Например, такую как наш Kaspersky Premium, чья эффективность подтверждена многочисленными наградами независимых тестовых лабораторий.
 
Эти, маки то?
1749504053431.png
 
Вся правда про взлом MacBook. Реальные методы хакеров
Принято считать, что уровень защищённости macOS гораздо выше, чем у той же Windows. Но неуязвимого программного обеспечения не существует. Так что ваш MacBook тоже можно взломать, а значит, получить доступ к вашим личным данным, фото и т.д.

После скандала с macOS High Sierra, в которой root-доступ можно было получить без пароля, все поняли, что даже у Apple бывают промашки. В этой статье рассказываем, как хакеры и фишеры взламывают MacBook.

Безопасна ли macOS на самом деле


Сообщество Common Vulnerabilities and Exposures публикует списки продуктов с максимальным количеством уязвимостей. И продукты Apple регулярно оказываются в первых рядах этого антирейтинга.



За 2017 год macOS оказалась на пятом месте. iOS, к слову, на третьем. Windows 10 – на шестом месте, в ней нашли на 13 дыр меньше, чем в macOS.



За всё время macOS (совместно с OS X) занимает вторую строчку и уступает лишь ядру Linux Kernel. 1957 уязвимостей против 1989 соответственно.

Эксплоиты для взлома macOS


Эксплоит – программа, которая эксплуатирует уязвимость в программном обеспечении для несанкционированного доступа. Понятное дело, просто так эксплоиты в сеть не выкладывают. Выгоднее продать их разработчикам в рамках программ bug bounty (вознаграждение за найденные уязвимости) либо мошенникам, которые намерены взломать чужой компьютер. Либо использовать самостоятельно и вымогать деньги за возврат данных и т.п.

Новые эксплоиты появляются постоянно. К примеру, известный хакер Geohot (Джордж Хотц) провёл эксперимент с компьютером журналиста Бена Макича. Взломщик удалённо подключился к MacBook с помощью собственного эксплоита, а затем запустил браузер со своим сайтом geohot.com и приложение «Калькулятор» всего одной командой.

Кстати, вы же помните, что именно Geohot выпустил самый первый джейлбрейк для iPhone?

Как внедряют эксплойты? Варианта два:

Заставить пользователя перейти по ссылке и выполнить на сайте вредоносный код с помощью уязвимости в браузере.
Заставить пользователя открыть файл с кодом эксплойта, замаскированный под фото, архив, вложение в фишинговый e-mail и т.д.
Считаете, что на MacBook не нужен антивирус? Как бы не так! За год количество вредоносов для «мака» выросло на 744%, утверждает McAfee. Конечно, это всего 460 тыс. против 600 млн от общего количества, но тоже неслабо.

Проблема с эксплойтами заключается и в том, что не все антивирусы их обнаруживают. Необходим поведенческий анализ – без него шансы помешать эксплойту мизерные. К тому же эксплойты обычно ходят пачками (объединяются разработчиками в набор – кит) и проверяют систему сразу не все уязвимости
 
В марте 2017 года на хакатоне Pwn2Own, который ежегодно проводится организацией Zero Day Initiative, хакеры заработали на взломе macOS в общей сложности 62 тыс. долларов. К примеру, использовав десять найденных уязвимостей в macOS, они получили права суперпользователя.

Дважды взломали браузер Safari – как раз благодаря правам суперпользователя. Первая команда получила за это 28 тыс. долларов, так как атака сработала не до конца. Команда использовала use-after-free в Safari в сочетании с тремя ошибками логики и разыменованием нулевого указателя, а как раз use-after-free в бета-версии браузера незадолго до этого исправили. Вторая команда заработала 35 тыс. за абсолютный успех и извлечение из браузера конфиденциальной информации.

Для взлома Touch Bar новых MacBook Pro эксплуатировали пять разных уязвимостей. На панель смогли вывести сообщение через командную строку.

С другой стороны, призовой фонд составлял 1 млн долларов. Так что 6,2% от него – не так много. На взломе Ubuntu, Chrome, продуктов Microsoft получилось заработать больше.



На сайтах и форумах взломать MacBook (речь идёт о взломе Apple ID) предлагают за 3000 рублей и более. Обещают даже вернуть деньги в случае неудачи. И скидки делают.

Взломщики используют относительно свежие наборы эксплоитов – «отмычки», которые быстро окупаются. Впрочем, такой «бизнес» описан в ст. 272 УК РФ. Так, если взламывает группа лиц по предварительному сговору, это наказывается:

штрафом в размере до 500 тыс. рублей;
или в размере заработной платы или иного дохода осужденного за период до трех лет;
с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
либо ограничением свободы на срок до четырех лет;
либо принудительными работами на срок до пяти лет;
либо лишением свободы на тот же срок.
Выводы
Взломать можно всё, и уязвимости находятся постоянно. Разница в том, что на хакатоне или в программе bug bounty на этом можно заработать тысячи долларов, а во всех других случаях (в РФ) – до двух лет лишения свободы за самостоятельные «подвиги» или до пяти лет, если взламывать будете не в одиночку. Сами понимаете, что выгоднее.
 
Для ответа нужно войти/зарегистрироваться
Назад
Верх