Безопасность Global 24 часа
Между 2ndи 6thмая Ручной тормоз Ссылка на зеркало для загрузки программного обеспечения (download.handbrake.fr) была взломана, и разработчики опубликовали предупреждение уведомление на 6thмая, чтобы помочь пользователям определить, были ли их системы MacOS заражены печально известным троянцем Proton Remote Access (RAT). Сообщалось, что примерно 50% всех загрузок, выполненных за этот период, привели к зараженным системам устройств. Теперь исследователи из Касперский удалось натолкнуться на предшественника вредоносного ПО Proton RAT, Calisto, которое, по их мнению, было разработано за год до Proton, поскольку у него не было возможности обойти защиту целостности системы (SIP), которая требует учетных данных администратора для редактирования основных файлов, функция, которая в то время улучшалась. Исследователи «Лаборатории Касперского» пришли к выводу, что от Calisto отказались в пользу Proton, поскольку код Calisto выглядел необработанным. Калисто был обнаружен на VirusTotal , и кажется, что вирус оставался там в течение двух-трех лет незамеченным до сих пор.
Proton RAT - это опасная и мощная вредоносная программа, впервые выпущенная в конце 2016 года, которая использует подлинные сертификаты подписи кода Apple для управления системой и получения корневого доступа на устройствах MacOS. Вредоносная программа способна обойти все существующие меры безопасности, включая двухфакторную аутентификацию iCloud и защиту целостности системы, так что она может удаленно контролировать активность компьютера, регистрируя нажатия клавиш, выполняя ложные всплывающие окна для сбора информации, делая снимки экрана, удаленно просматривая все активность на экране, извлечение интересующих файлов данных и наблюдение за пользователем через его или ее веб-камеру. Кажется, есть простой способ удалить вредоносное ПО после обнаружения, но если обнаружится, что оно было активным в системе (если процесс «Activity_agent» отображается в приложении Activity Monitor на устройстве), пользователи могут быть уверены, что он сохраняли все свои пароли и получали доступ к любым данным, сохраненным в браузерах или собственной связке ключей Mac. Поэтому пользователей просят немедленно сменить их на чистом устройстве, чтобы избежать компрометации своих финансовых и сетевых данных.
Что самое интересное в Proton RAT, так это то, что, согласно Ячейка интеграции кибербезопасности и связи Нью-Джерси (NJCCIC) , создатель вредоносной программы рекламировал ее как программное обеспечение для мониторинга корпораций и даже родителей, которое позволяет отслеживать цифровую активность своих детей в домашних условиях. Это программное обеспечение стоило от 1200 до 820 000 долларов США в зависимости от лицензии и функций, предоставленных пользователю. Эти функции «мониторинга», однако, были незаконными, и, когда хакеры заполучили код, программа была разослана через множество загрузок с видео на YouTube, через взломанные веб-порталы, программное обеспечение HandBrake (в случае с HandBrake-1.0. 7.dmg был заменен файлом OSX.PROTON), и через темную сеть. Хотя пользователям нечего бояться с Calisto, пока их SIP включен и работает, исследователи считают, что способность кода манипулировать системой с аутентичными учетными данными Apple вызывает тревогу, и опасаются, что в будущем вредоносное ПО сможет делать, используя тот же механизм. На этом этапе Proton RAT можно удалить после обнаружения. Однако, работая над той же фундаментальной манипуляцией с сертификатами, вредоносная программа вскоре может закрепиться в системах в качестве постоянного агента.
