Было время, когда компьютеры Mac считались защищенными от вредоносного ПО и других болезней. Злоумышленники предпочитали преследовать пользователей Windows просто потому, что их было больше – злоумышленники могли получить больше отдачи от затраченных средств. Однако ситуация меняется: все больше людей владеют компьютерами Mac. Это привело к третьей атаке нулевого дня на macOS менее чем за год, что позволило злоумышленникам воспользоваться несколькими способами через Safari.
Обнаружение третьей атаки нулевого дня на macOS
В августе прошлого года эксперты по безопасности обнаружили XCSSET — атаку нулевого дня, которая затронула разработчиков Mac. Это дало им доступ к файлам cookie и файлам браузера. Он также оставил позади бэкдоры веб-сайтов и украл информацию из приложений, оставив после себя записку о выкупе. В марте этого года исследователи SentinelOne обнаружили библиотеку троянского кода, которая устанавливала вредоносное ПО XCSSET на компьютеры Mac разработчиков.
Исследователями Trend Micro был обнаружен третий экземпляр XCSSET. В этих двух атаках нулевого дня на macOS одна использует уязвимость для кражи файлов cookie, а другая использует версию Safari для разработчиков. Исследователи сочли атаки «весьма необычными».
«Вредоносный код внедряется в локальные проекты Xcode, поэтому при сборке проекта вредоносный код запускается. В частности, это представляет риск для разработчиков Xcode. Угроза возрастает, поскольку мы выявили затронутых разработчиков, которые поделились своими проектами на GitHub, что привело к атаке, подобной цепочке поставок, для пользователей, которые полагаются на эти репозитории как на зависимости в своих собственных проектах», — говорится в сообщении в блоге на веб-сайте Trend Micro. Исследователи полагают, что атаки могут иметь широкомасштабный характер, поскольку вредоносное ПО также было обнаружено в источниках VirusTotal.
Исследователи обнаружили угрозу входа как «TrojanSpy.MacOS.XCSSET.A и файлы, связанные с управлением и контролем (C&C), как Backdoor.MacOS.XCSSET.A».
Вред, который причиняет XCSSET
Проекты X-кода и модифицированные приложения создаются из вредоносного ПО и распространяют атаку. Неизвестно, как вредоносное ПО попадает на эти компьютеры Mac. Что известно, так это то, что проекты кода X были изменены для запуска вредоносного кода, который достигает компьютеров Mac, что приводит к краже учетных данных пользователя и другой информации.
Как только XCSSET попадет в систему, он сможет:
- Злоупотребление Safari и другими браузерами
- Чтение и сохранение файлов cookie Safari
- Внедрить бэкдоры в разрабатываемую версию Safari посредством UXSS-атаки.
- Кража информации из приложений
- Сделать скриншоты
- Загрузить пользовательские файлы на сервер злоумышленника
- Шифровать файлы
- Показать сообщение о выкупе
Атака UXSS в первую очередь влияет на просмотр. Он может:
- Изменение веб-сайтов
- Изменить/заменить адреса биткойнов и криптовалют
- Украсть учетные данные
- Украсть данные кредитной карты Apple Store
- Запретить пользователю менять пароли при краже измененных паролей
- Сделать скриншоты
Поскольку менее чем за год произошло три атаки нулевого дня на Mac, неизвестно, где и когда она произойдет в следующий раз. Trend Micro рекомендует пользователям загружать приложения только из официальных, законных источников и использовать многоуровневое решение безопасности.
Читайте дальше, чтобы узнать ужасную правду об эксплойтах нулевого дня и о том, достаточно ли хорош Защитник Windows в 2021 году.
