Mac не готов для корпоративного использования
Главная » Новости

Mac OS X не готова для корпоративного использования

Ксения Ренселаева 08 Августа 2011 - 21:48
...

Так считают специалисты в области безопасности компании iSec Partners. По их мнению, большой парк из Mac - компьютеров будет более уязвимым к APT (advanced persistent threats) атакам, нежели аналогичная сеть, построенная на базе Windows машин.

Как известно, к таким методикам прибегают хакеры, действующие по заказу. Ведь эти тактики требуют больших временных затрат и здесь важен результат. А именно: взлом корпоративных сетей крупных предприятий или правительственных организаций. Получив доступ, злоумышленники используют специально созданные вредоносные программы, нацеленные на классифицированные документы или важные данные.

Свое предположение исследователи подтвердили наглядным примером и продемонстрировали его на недавно прошедшей конференции Black Hat. Для своего эксперимента они создали небольшую сеть из компьютеров, работающих на Mac, и запустили туда опытный образец вредоносной программы, написанный именно для этой платформы. Попав в систему, вирус дождался обмена данными и скопировал аутентификационные сведения управляющего компьютера, с помощью которых успешно выдал себя за сервер и оперативно собрал аналогичную информацию со всех остальных машин в сети.

Эксперты объяснили это тем, что  для управления парком Mac с помощью сервера используется достаточно простой метод аутентификации, т.н. - DHX, который легко обойти. И даже если на сервере использовался надежный алгоритм аутентификации Kerberos, злоумышленник может обойти эту настройку. Кроме того, не исключена вероятность того, что один из сотрудников может непреднамеренно запустить подобный вирус со своего компьютера и в таком случае весь парк подвергнется угрозе.  По словам технического директора компании и руководителя исследовательской группы Алекса Стамоса, если вдруг такой образец попадет в сеть, то через минуту атакующая сторона будет обладать всеми необходимыми данными.  Важно отметить, что

Стоит заметить, что группа исследователей начала свои научные изыскания полтора года назад, после того как хакеры используя обнаруженные уязвимости в платформе Windows пытались взломать сети крупных компаний, в том числе Google. В результате чего последняя решила использовать в качестве рабочих компьютеры под управлением Mac.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
KB5063060: экстренное обновление Windows 11 для геймеров с BSOD
Новость
KB5063060: экстренное обновление Windows 11 для геймеров с B...
Процессоры AMD уязвимы перед новым вектором атаки — TSA
Новость
Процессоры AMD уязвимы перед новым вектором атаки — TSA
InfoWatch Traffic Monitor теперь защищает данные в мессенджере Frisbee
Новость
InfoWatch Traffic Monitor теперь защищает данные в мессендже...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.