На прошлой неделе мы сообщали о серьезном новом виде вредоносного ПО для Mac, которое заражает через Xcode, обнаруженном исследователями безопасности из Trend Micro.
В эксклюзивном интервью для MacRumors исследователи безопасности, обнаружившие вредоносное ПО, Олег Шатківський и Влад Феленюк, предоставили дополнительную информацию о своих исследованиях.
Вредоносное ПО, входящее в семейство XCSSET, является «необычным видом заражения», которое внедряется в проекты Xcode. При сборке проекта запускается вредоносный код. Это может привести к «кроличьей норе вредоносных полезных нагрузок» и представляет значительный риск для пользователей Mac.
В частности, было обнаружено, что вредоносное ПО способно злоупотреблять Safari и другими браузерами для кражи данных. Оно может использовать уязвимость для чтения и извлечения файлов cookie, создания бэкдоров на JavaScript, а также для изменения отображаемых веб-сайтов, кражи личной банковской информации и паролей, а также для блокировки смены паролей. Также было обнаружено, что оно может красть информацию из таких приложений, как Evernote, Notes, Skype, Telegram, QQ и WeChat, делать снимки экрана, загружать файлы на указанный атакующим сервер, шифровать файлы и отображать записку с требованием выкупа.
Шатківський и Феленюк сообщили MacRumors, что, по их мнению, вредоносное ПО XCSSET станет чрезвычайно распространенным среди злоумышленников, стремящихся использовать системы Mac. Вредоносное ПО особенно опасно, поскольку методы проверки, такие как проверка хешей, не выявляют заражения. Было обнаружено, что оно присутствует в проектах, которыми обмениваются на GitHub. Это означает, что разработчики, полагающиеся на репозитории, могут столкнуться с атакой на цепочку поставок и не подозревать, что их проект заражен.
Зараженные вредоносным ПО проекты Xcode могут создавать вредоносные модифицированные приложения, неизвестные разработчикам этих приложений, а затем распространять их как трояны. Шатківський и Феленюк считают, что команда проверки Mac App Store в значительной степени не сможет обнаружить приложения, содержащие вредоносное ПО XCSSET. «Как разработчик iOS, я знаю, как легко их обмануть и выпустить приложение со скрытыми функциями», — сказал Шатківський.
Шатківський и Феленюк впервые обратились к Apple по поводу этой проблемы еще в декабре 2019 года, и они надеются, что Apple примет решительные и быстрые меры по устранению уязвимости. Они предлагают Apple внедрить уведомления о конфиденциальности, подобные тем, что появились в iOS 14 и iPadOS 14, чтобы предупреждать пользователей Mac, когда вредоносное ПО активно в их системах, с целью явного уведомления пользователей о потенциальном нарушении.
Шатківський и Феленюк не имели доступа к Mac Developer Transition Kit с Apple Silicon для тестирования, но они считают, что «нет сомнений в том, что вредоносное ПО будет работать» на Mac с Apple Silicon. Несмотря на серьезность вредоносного ПО XCSSET, они утверждают, что macOS является безопасной операционной системой и оптимистичны в отношении будущего борьбы с вредоносным ПО.
«Apple предстоит проделать некоторую работу, но тем не менее macOS — самая безопасная доступная платформа. Я восхищен тем, как Apple защищает конфиденциальность. Однако я уверен, что разработка вредоносного ПО в будущем станет практически невозможной. Но это никак не связано с переходом Mac на Apple silicon.»
В дальнейшем исследователи призывают пользователей Mac быть внимательными к необычной активности в уведомлениях о разрешениях. Любые повторяющиеся или подозрительные уведомления с запросами разрешений в macOS могут указывать на заражение. Trend Micro рекомендует пользователям рассмотреть многоуровневые решения безопасности.
«Чтобы оставаться в безопасности, нужно быть несколько параноидальным. Не позволяйте никакому приложению записывать ваш экран. Также обращайте внимание на то, что запущено на вашем Mac. Я никогда не использую пиратское программное обеспечение из-за его небезопасности, я использую только лицензионное», — сказал Шатківський.
Пара продолжает активно исследовать другие угрозы для macOS.
