Symantec предупреждает о наличии «троянского коня» в пиратских копиях Apple IWORK ‘09

Symantec предупреждает о наличии «троянского коня» в пиратских копиях Apple IWORK ‘09

Symantec еще раз наглядно продемонстрировала опасность использования пиратского ПО, опубликовав сообщение о новом «троянском коне», который распространяется в сети BitTorrent. Выдаваемый за копию пробной версии программы Apple iWork ‘09, фальшивый инсталлятор iWork ’09 носит имя файла iWork09.zip – так что пользователи могут легко принять его за легитимную версию программы Apple.

На самом же деле подлинная версия iWork ’09, поставляемая Apple, называется iWork09Trial.dmg. «Троянизированный» пакет содержит некоторые фрагменты пробной версии iWork ’09, а также вредоносный инсталлятор iWorkServices.pkg.
Угроза OSX.iWork способна заразить компьютер Мас вредоносным кодом, который устанавливает связь с удаленной системой, расположенной где угодно. Это позволяет пиратам посылать в зараженную машину команды для поиска конфиденциальной или ценной информации, наблюдения за поведением пользователя в интернете и записи набираемого им текста. В результате ничего не подозревающий владелец Мас может стать жертвой подлога и понести материальный ущерб.

В своем блоге Security Response Symantec объясняет, как устроена эта угроза: «Когда разработчики ПО создают инсталлятор для Мас, он часто состоит из нескольких мини-инсталляторов, или пакетов, которые выполняются в определенной последовательности. Каждый такой пакет (файл .pkg) содержит специальный код и сценарий, гарантирующий размещение этого кода в нужной части жесткого диска, чтобы компьютер мог работать с ним. В данном случае главный сценарий инсталляции изменен таким образом, чтобы не только выполнять «правильные» программные пакеты, но и устанавливать дополнительный пакет, предусмотрительно названный iWorkServices.pkg, который выгружает вредоносный код, соединяющий пользователя с удаленной системой – что делает его уязвимым для атак».

Symantec Security Response оценивает OSX.iWork как низкоуровневую угрозу, но подчеркивает, что в текущих условиях экономического кризиса все больше людей может обращаться к пиратскому ПО, чтобы не платить за него.
По мнению Symantec, особенно тревожно то, что если у пользователей нет никакого программного обеспечения безопасности, они могут так и не узнать, что их Мас заражен, так как сами компоненты iWork работают как обычно.

Symantec дает пользователям следующие рекомендации:

· Проявляйте осторожность при выборе источника загружаемого ПО (и не используйте пиратское ПО)

· При желании попробовать программу наберите URL (http://www.apple.com/iwork/), который ведет прямо на домашнюю страницу Apple с легитимным ПО

· Регулярно проверяйте жесткий диск на наличие угроз с применением качественного ПО безопасности. Можно также подумать об установке межсетевого экрана для проверки входящих и исходящих несанкционированных соединений с компьютером

· Регулярно обновляйте ПО безопасности и следите за информацией о последних угрозах.

Более подробные сведения об этой угрозе можно получить здесь.
Symantec включила определение этой уязвимости в антивирусные базы Norton AntiVirus for Mac, Norton Internet Security for Mac и Symantec AntiVirus for Mac, так что для доступа к нему достаточно запустить LiveUpdate.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru