В компьютерах Apple обнаружена уязвимость нового типа

Александр Панасенко 12 Января 2015 - 19:16

...

Специалист по информационной безопасностиТраммель Хадсон(Trammell Hudson) из американской компании Two Sigma Investments написал первый буткит для Mac. Буткит — это вредоносная программа, которая модифицирует загрузочный сектор накопителя в компьютере, позволяя обойти любую защиту от несанкционированного доступа на низком уровне.

Хадсон обнаружил, что при перезагрузке Mac в режиме восстановления система опрашивает накопитель, подключенный к разъему Thunderbolt. И если на этом устройстве находится какая-либо загрузочная микропрограмма, то система сначала проверяет ее на подлинность и, если проверка прошла успешно, исполняет.

Эксперт нашел уязвимость в методе проверки подлинности и научился обманывать систему, заставляя ее запускать произвольный код. Затем он написал непосредственно сам буткит, который меняет стандартную прошивку Mac, отвечающую за запуск операционной системы при включении или перезагрузке компьютера, сообщает safe.cnews.ru.

Установить буткит Thunderstrike — так его назвал автор — удаленно не получится, необходим физический контакт с машиной, так как взлом осуществляется с помощью периферийного интерфейса. Зато хакеру предоставляются широкие возможности, говорит эксперт.

Для Thunderstrike не являются помехой ни парольная защита, ни шифрование данных на диске, так как взлом происходит до того, как они вступают в силу. Кроме того, так как вредоносный код записывается в загрузочный сектор диска, его никак нельзя обнаружить.

По словам Хадсона, найденная им уязвимость открывает широкие возможности спецслужбам, которые могли бы устанавливать «жучки» в компьютеры до их отправки за рубеж. В частности, этим промышляло АНБ,перехватывая и оснащая лазейкамироутеры Cisco, направляемые иностранным заказчикам. Прелесть такого «жучка» в том, что пользователь никогда не сможет узнать о его существовании и как-либо удалить его стандартными методами. Если он отформатирует диск компьютера или переустановит операционную систему, буткит из загрузочного сектора никуда не денется.

«Записываемая в загрузочный сектор прошивка проверяется только однажды, в момент записи. Позже никто и никогда ее больше не проверяет, потому что в этом нет нужды», — добавил эксперт.

Хадсон сообщил, что он уже уведомил Apple о найденной уязвимости. Компания уже выпустила патчи для Mac Mini и iMac Retina. Ожидается, что для других моделей обновления выйдут в ближайшее время.

Ранее, в 2012 г. на конференции Red Hat был продемонстирован похожий метод взлома технологии шифрования FileVault, которую Apple использует в своих компьютерах. В отличие от Thunderstrike, авторы эксплойта не перезаписывали загрузочный сектор. Тем не менее, для взлома Mac они использовали тот же интерфейс — Thunderbolt. Он применяется в компьютерах Apple начиная с 2011 г.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Апреля 2026 - 11:20

Трояны Мошенничество Онлайн-мошенничество Домашние пользователи F6

Фальшивые моды для Minecraft заражают Windows и крадут данные геймеров

Поклонникам Minecraft стоит насторожиться: под видом безобидных модов для игры злоумышленники начали распространять вредоносные программы для Windows. Об угрозе предупредили специалисты компании F6, которая занимается технологиями для борьбы с киберугрозами.

Речь идёт о зловреде WeedHack. Его маскируют под «полезные» моды, читы и инструменты для дюпа (для быстрого получения игровых ресурсов нечестным способом).

Распространяют такие файлы через короткие ролики в TikTok: пользователю показывают заманчивое видео, а ссылку на скачивание оставляют в описании.

На первый взгляд всё выглядит вполне привычно для игровой среды. Но вместо полезного дополнения человек получает инфостилер — вредоносное приложение, которое незаметно собирает данные с компьютера и отправляет их злоумышленникам.

Самое неприятное в этой схеме то, что вредоносный файл действительно может работать как мод для Minecraft, не вызывая сразу подозрений. Пока пользователь думает, что просто установил очередное дополнение к игре, зловред параллельно загружает дополнительные модули с управляющих серверов и запускает скрытые механизмы автозапуска.

По данным F6, возможности у WeedHack довольно широкие. Он может красть учётные данные более чем из 40 браузеров, токены сессий Minecraft и Discord, а также данные криптокошельков — как из браузерных расширений, так и из некоторых десктопных приложений.

Кроме того, вредонос способен добраться до папки tdata Telegram. С такими данными злоумышленники могут попытаться войти в аккаунт пользователя без ввода кода аутентификации.

В F6 также отмечают, что в продвинутой версии WeedHack умеет больше, чем обычный стилер. По сути, он может превращаться в полноценный троян, открывающий удалённый доступ к устройству жертвы.

Отдельно интересно, как устроена сама схема распространения. По данным аналитиков, WeedHack распространяется по модели «вредонос как услуга» (Malware-as-a-Service).

Специалисты выяснили, что значительная часть связанных с ней доменов была зарегистрирована в зоне .RU. Всего удалось выявить 20 доменов, из которых 14 использовались как управляющие серверы, веб-панели или резервные площадки. После обращения CERT F6 все 14 доменов в зоне .RU были заблокированы. Также компания направила обращения для блокировки доменов в зоне .CY, жалобы на файлообменники, через которые распространялись вредоносные JAR-файлы, и запросы в TikTok на удаление роликов с опасными ссылками.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!