⚡️ Редкий случай: впервые за много лет Apple у нас отбирает работу, а не делает ее больше. Мы говорим про борьбу с такими вредоносными приложениями, которые называются AdLoad.
Приложения AdLoad активно и успешно атакуют Маки с 2017 года. Эти вредоносные инструменты предназначены для проникновения потенциально раздражающего рекламного ПО в вашу систему macOS. После того, как оно угнездится на вашем компьютере, AdLoad начинает в поисковую выдачу подсовывать свои ссылки, загружать дополнительные модули, в фоне грузить систему разными задачами вплоть до майнинга криптовалюты.
Не соврать, с того самого 2017 года несколько раз в неделю нам приходится чистить машины пользователей, подхвативших AdLoad в полной уверенности, что "на Маках же вирусов нет". Даже семинары проводили.
И вот на этом фронте грядут значительные изменения в лучшую сторону. В Купертино наконец решили бороться с AdLoad! Как пишет 9to5mac.com...
В составе свежих бета-версий на прошлой неделе Apple выпустила одно из самых значительных обновлений для модуля защиты XProtect — средство обнаружения вредоносного ПО для macOS добавило 74 новых правила обнаружения Yara, направленных против одной угрозы — Adload.
Напомним структуру системы защиты современных систем macOS...
1) Само приложение XProtect, которое может обнаруживать вредоносное ПО с помощью правил Yara при первом запуске приложения, изменении или обновлении его сигнатур.
2) XProtectRemediator более проактивен и может как обнаруживать, так и удалять вредоносное ПО с помощью регулярных сканирований Yara. Они выполняются в фоновом режиме в периоды низкой активности и оказывают минимальное воздействие на процессор.
3) Служба XProtectBehaviorService (XBS) была добавлена в последнюю версию macOS и отслеживает поведение системы по отношению к критическим ресурсам.
Для выявления вредоносных программ в пакете XProtect используется сигнатурное обнаружение Yara — широко распространенный инструмент с открытым исходным кодом, который идентифицирует файлы (включая вредоносное ПО) на основе определенных характеристик и шаблонов в коде или метаданных. Что самое замечательное в правилах Yara, так это то, что любая организация или частное лицо могут создавать и использовать свои собственные правила, включая Apple.
С выходом XProtect v2192, похоже, Apple теперь может обнаружить всю кодовую базу Adload и все существующие штаммы этого некогда широко распространенного рекламного и пакетного загрузчика, долгие нацеленного на пользователей macOS. Более того, в последнее время семейство вредоносных программ удается обходить стороной как Gatekeeper, так и XProtect: они оказываются "подписаны" сертификатом разработчика Apple, а также "нотариально заверены", и до прошлой недели многие штаммы не соответствовали профилям вредоносных программ в базе данных XProtect. Это, несомненно, было настоящей головной болью для команд безопасности Apple, которые, как я могу себе представить, восприняли 74 новых правила с большим ликованием.
И мы вместе с ними, и мы вместе с ними!
2 минуты
29 апреля 2024