Новое программное обеспечение взламывает связку ключей в Mac OS X

Новое программное обеспечение взламывает связку ключей в Mac OS X

Новое программное средство позволяет потенциальным хакерам Mac OS легко похищать связку ключей и пароли пользователей, входивших в систему, а также предоставлять несанкционированным приложениям администраторский уровень доступа. Программное обеспечение Keychaindump было создано финским программистом Юуусо Салоненом, ранее ставшим автором программного файерволла Radio Silence для Mac OS X.

Связка ключей в Mac OS X представляет собой систему управления паролями, созданную с тем, чтобы хранить и получать быстрый доступ к пользовательским логинам и паролям от разных сервисов. Изначально связка ключей обладает высокой степенью защиты внутренних данных. "Пароли в связке шифруются многократно различными способами. Некоторые из этих ключей шифруются по принципу матрешки - одни ключи шифруются другими", - говорит Салонен.

"Мастер-ключ открывает первый слой шифрования и дальше доступ к соответствующим ключам осуществляется по цепочке, тогда как весь каскад дешифрования происходит при помощи шифровальной функции PBKDF2", - рассказывает финский разработчик, передает cybersecurity.ru.

Программа Салонена использует изощренную технику распознавания, которая сканирует оперативную память компьютера на предмет нахождения в ней процесса securyd, управляющего операциями, связанными со связкой ключей. В Keychaindump не используют никаких уязвимостей в Mac OS X или процессе securityd, но вместо этого используют особенность подхода Apple - автоматически дешифровывать пользовательские связки ключей, когда те входят в их аккаунты, а также хранит их в памяти для наиболее быстрого доступа.

По словам независимых экспертов, сам алгоритм программы Apple не обязательно плох, так как он имеет встроенную систему дополнительной защиты, к примеру просит ввести дополнительный пароль на доступ к связке, однако в конечном итоге и он также подвержен взлому, кроме того, если программа запускается под аккаунтом администратора, то она может получить еще большие привилегии.

"Моя программа не использует никаких уязвимостей, так как для начала она требует root-доступ к системе, а как знают большинство администраторов, root-доступ - это уже многое", - говорит Салонен.

Сам финский разработчик говорит, что он надеется на легальное использование его программы для тестирования защищенности систем. При этом, он говорит, что программа доступна в исходных кодах и от злонамеренного использования никто не застрахован.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ComicForm и Бэтмен: новая кибергруппа атаковала компании в России и СНГ

Специалисты F6 зафиксировали фишинговую кампанию, проведённую в мае–июне 2025 года против организаций в России, Беларуси и Казахстане. Цели — компании из финансового сектора, туризма, биотехнологий, торговли и исследовательских областей.

Злоумышленники рассылали письма с темами вроде «RE: Акт сверки», «Контракт и счет.pdf» или «Подтвердить пароль». Во вложениях находился загрузчик, который устанавливал на компьютер стилер FormBook для кражи данных.

Необычной деталью писем стали скрытые ссылки на анимированные GIF с супергероями — например, Бэтменом. Эти картинки не использовались в самой атаке, но именно из-за них исследователи назвали группу ComicForm.

Для рассылки использовались почтовые адреса на доменах .ru, .by и .kz, часть из которых могла быть скомпрометирована. Характерная черта атак — обратный адрес вида rivet_kz@..., зарегистрированный в бесплатном российском почтовом сервисе.

 

Помимо вложений, применялись поддельные страницы для хранения документов. Попав на такие сайты, жертвы вводили свои данные в фишинговые формы авторизации, после чего информация уходила на серверы злоумышленников.

В ряде случаев письма рассылались и на английском языке, что указывает на потенциальное расширение атак за пределы региона. Так, в июне были обнаружены следы атаки на одну из телекоммуникационных компаний Казахстана.

В F6 отмечают, что ComicForm активна минимум с апреля 2025 года и продолжает расширять инфраструктуру. По их оценке, угроза остаётся актуальной для организаций в разных отраслях экономики.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru