Вы используете устаревший браузер!

Страница может отображаться некорректно.

Они были первыми

Они были первыми

Другие выпуски этой рубрики (10)
  • добавить в избранное
    Добавить в закладки

Безопасность macOS: ретроспектива в настоящее

Прочитали: 5835 Комментариев: 18 Рейтинг: 40

18 марта 2021

С выходом macOS Big Sur, а заодно и нового процессора M1 от Apple, нашим разработчикам, тестерам и аналитикам пришлось очень хорошо потрудиться, чтобы обеспечить совместимость антивирусных модулей с новой операционной системой. Пока бета-тестирование Dr.Web 12.5 для macOS идет полным ходом, а программисты всего мира заняты поиском красивых решений для функционирования своих программ на новой архитектуре, давайте вспомним одно очень интересное событие, произошедшее почти 10 лет назад.

Весна 2012 года стала по-настоящему знаковой для всей IT-индустрии. Сотни тысяч компьютеров под управлением системы macOS, которые еще многим на тот момент казались абсолютно неуязвимыми для вредоносного ПО, оказались инфицированы троянской программой BackDoor.Flashback. Так был сформирован на тот момент крупнейший в истории ботнет из «Макинтошей».

Для многих пользователей macOS такое развитие событий стало настоящим откровением. До сих пор считалось, что эта закрытая операционная система надежно защищена от разного рода троянов и вирусов, а её относительно небольшая распространенность лишь способствует общей безопасности. Но вирусописатели к тому моменту уже давно обратили свое внимание на эту ОС, поэтому инцидент с Flashback был лишь вопросом времени.

Как это часто бывает, первопричиной столь массового заражения оказалась не закрытая вовремя уязвимость. Для инфицирования троян использовал эксплойты, основанные на соответствующей уязвимости Java-платформы. Заражение происходило незаметно для пользователя: достаточно было лишь посетить определенный сайт, содержащий вредоносный апплет, при этом на компьютере должна была быть установлена уязвимая версия Java.

Первые домены ботнета Flashback были зарегистрированы 25 марта 2012 года. Уже 27 марта вирусные аналитики «Доктор Веб» проанализировали образец трояна, вызывавшего заражение, и изучили алгоритмы генерации адресов управляющих серверов. После этого наша компания провела собственное исследование, позволившее пролить свет на истинные масштабы эпидемии.

Для подсчета размеров ботнета мы использовали метод sinkhole, позволяющий перенаправлять трафик ботов, что дало возможность перехватывать сообщения, в которых содержались уникальные номера зараженных компьютеров. Нехитрый анализ полученных данных ошеломил многих экспертов: на пике количество узлов ботнета (инфицированных «Маков») перевалило за 800 тысяч.

Перспектива отдать свой любимый компьютер в распоряжение злоумышленников не сулила пользователям ничего хорошего. Flashback был способен по команде управляющего сервера загружать и запускать на зараженном устройстве любые исполняемые файлы. Таким образом, операторы ботнета могли проводить DDoS-атаки, красть личные данные пользователей, организовывать фишинговые атаки и в целом имели очень широкий спектр воздействия на инфицированные «Маки».

А теперь обратимся к цифрам. В те годы рыночная доля macOS среди настольных систем по оценкам ведущих экспертов составляла около 6%. За неполные 10 лет эта доля выросла до 16.5%, а вместе с ней увеличивалась и активность вирусописателей. С какими же актуальными угрозами рискуют столкнуться многочисленные пользователи macOS?

Появление новых видов вредоносного и нежелательного ПО для macOS стало одной из главных тенденций ушедшего 2020 года. За прошедший год наши вирусные аналитики обнаружили несколько значимых угроз, в том числе работающий троян-шифровальщик, известный как ThiefQuest, многочисленные шпионские программы, а также руткиты, которые способны скрывать работающие процессы.

Также наши аналитики изучили первый троянский рекламный модуль, созданный специально для работы на новых процессорах Apple. Он примечателен тем, что умеет противостоять отладке и определять функционирование в виртуальной среде. Его основная функциональность – демонстрация назойливой рекламы, баннеров и всплывающих окон, что, конечно же, бывает сложно ожидать от систем под управлением macOS.

Мы также исследовали более опасные вредоносные программы - например, троян Mac.Trojan.SilverSparrow.1. В группе риска находятся пользователи, загружающие ПО из непроверенных источников, так как этот троян может быть замаскирован под что угодно. Заражение происходит незаметно для пользователя и выглядит как обычная установка программы. При открытии трояна стандартным системным установщиком он запрашивает у пользователя необходимые для работы разрешения, будучи замаскированным под «хорошую» программу. Согласившись, пользователь тем самым компрометирует систему. Основная вредоносная функциональность заключена в полезной нагрузке, которая локально собирается трояном. Таким образом, троян закрепляет в системе несколько вредоносных скриптов, которые затем функционируют в операционной системе. Эти скрипты позволяют собирать личные данные и выполнять слежку за пользователем.

#антивирус #ботнет #вирусописатель #история #троянец

Антивирусная правДА! рекомендует

Несмотря на старания компании Apple сделать свою систему максимально закрытой и безопасной, вирусописатели успешно находят решения для компрометации компьютеров под управлением macOS. Получая все большее распространение, платформа ожидаемо оказывается под все более пристальным вниманием киберпреступников. Уже сейчас имеющееся вредоносное ПО позволяет злоумышленникам без особого труда получать доступ к «Макам», красть личные данные и успешно использовать методы социальной инженерии – этого более чем достаточно для эффективных атак.

Именно поэтому мы провели большую работу над Dr.Web для macOS Big Sur, так как надежный антивирусный продукт обязан эффективно функционировать в любой операционной системе.

Уже сейчас протестировать возможности Dr.Web 12.5 для macOS в рамках открытого бета-тестирования может любой желающий. Присоединяйтесь к первопроходцам!

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей