83 подписчика
В конце апреля мы уже писали, что Apple наконец начала на уровне системы macOS бороться с вредоносными приложениями класса AdLoad. Несмотря на то, что они формально считаются не самыми страшными, хлопот доставляют пользователям и нам немало — на машины они попадают после неудачного клика на каком-то вредном сайте, подменяют поисковую выдачу пользователей, грузят машины своими задачами и в целом работать становится неприятно.
Структура системы защиты современных систем macOS выглядит следующим обращом...
1) Само приложение XProtect, которое может обнаруживать вредоносное ПО с помощью правил Yara при первом запуске приложения, изменении или обновлении его сигнатур. Именно здесь появился блок с описанием приложений AdLoad.
2) XProtectRemediator более проактивен и может как обнаруживать, так и удалять вредоносное ПО с помощью регулярных сканирований Yara. Они выполняются в фоновом режиме в периоды низкой активности и оказывают минимальное воздействие на процессор.
3) Служба XProtectBehaviorService (XBS) была добавлена в последнюю версию macOS и отслеживает поведение системы по отношению к критическим ресурсам.
А какие угрозы может блокировать на данный момент XProtect, помимо AdLoad? К сожалению, полного ответа на этот вопрос нет, потому что Apple модули с описаниями именует по своему разумению и сложно понять что за ними скрывается. Но часть из них — а точнее 14 из 23 имеющихся модулей — специалисты таки идентифицировали.
1) Adload: Загрузчик рекламного и пакетного ПО.
2) BadGacha: Пока не идентифицирован.
3) BlueTop: Очень похоже, что является троянцем-прокси, о котором Касперский писал в конце 2023 года.
4) CardboardCutout: Пока не идентифицирован.
5) ColdSnap: Скорее всего, macOS-версия вредоносной программы SimpleTea. Она также была связана с взломом 3CX и имеет общие черты с вариантами для Linux и Windows. Считается, что был создан в КНДР.
6) Crapyrator: Crapyrator был идентифицирован как macOS.Bkdr.Activator. Это вредоносное ПО, обнаруженное в феврале 2024 года, которое "массово заражает пользователей macOS, возможно, с целью создания ботнета macOS или доставки других вредоносных программ в больших масштабах".
7) DubRobber: опасный и универсальный троянец-дроппер, также известный как XCSSET.
8) Eicar: Безобидный файл, специально созданный для срабатывания антивирусных сканеров и не представляющий опасности.
9) FloppyFlipper: Пока не идентифицирован.
10) Genieo: Очень часто документируемая потенциально нежелательная программа (PUP). Настолько, что у нее даже есть своя страница в Википедии.
11) GreenAcre: Пока не идентифицирован.
12) KeySteal: KeySteal — это похититель информации для macOS, первоначально замеченный в 2021 году и добавленный в XProtect в феврале 2023 года.
13) MRTv3: это набор компонентов для обнаружения и удаления вредоносных программ, перенесенных в XProtect из его предшественника Malware Removal Tool (MRT).
14) Pirrit: Рекламное ПО для macOS, которое впервые появилось в 2016 году. Оно известно тем, что внедряет всплывающую рекламу на веб-страницы, собирает приватные данные браузера пользователя и даже манипулирует поисковым рейтингом, перенаправляя пользователей на вредоносные страницы.
15) RankStank: Это правило — одно из самых очевидных, поскольку включает в себя пути к вредоносным исполняемым файлам, обнаруженным в инциденте 3CX — атака на цепочку поставок, приписываемая Lazarus Group.
16) RedPine: скорее всего, является ответом на TriangleDB из Операции Триангуляции имени Касперского.
17) RoachFlight: Пока не идентифицирован.
18) SheepSwap: пока не идентифицирован.
19) ShowBeagle: Пока не идентифицирован.
20) SnowDrift: идентифицирован как шпионское ПО для macOS CloudMensis.
21) ToyDrop: Пока не идентифицирован.
22) Trovi: Подобно Pirrit, Trovi является еще одним кросс-платформенным браузерным угонщиком. Известно, что он перенаправляет результаты поиска, отслеживает историю посещений и внедряет собственную рекламу в поиск.
23) WaterNet: Пока не идентифицирован.
3 минуты
6 мая 2024