| 9 февраля 2017 г. — 4:31 PT
Исследователи безопасности Mac на этой неделе обнаружили два отдельных случая нового вредоносного ПО для macOS, хотя сцена эксплойтов для Mac по-прежнему значительно отстает от изощренных червей и троянских коней, замеченных на Windows, как отмечает ArsTechnica.
Один из новых эксплойтов вредоносного ПО использует старую технику Windows, эксплуатируя выполнение кода внутри документов Word с помощью макросов. Считается, что это первый подобный случай, нацеленный на платформу Mac. К счастью, его легко избежать, отчасти потому, что он опирается на такой старый вектор атаки…
Эксплойт работает следующим образом: ничего не подозревающие пользователи открывают специально созданный документ Word, который содержит макросы, запускающиеся при открытии файла. Макросы были распространенным вектором атак в мире Windows много лет назад, и теперь, похоже, по крайней мере одна организация пытается использовать примитивные методы на пользователях Mac.
Однако подозрительный документ Word легко идентифицировать. При запуске в Microsoft Office (не в Pages) документ, содержащий макросы, запросит у пользователя разрешение на выполнение. Простое нажатие «Отключить макросы» останавливает выполнение вредоносного кода. Если разрешение предоставлено, макросы загружают произвольный код с удаленного сервера и выполняют его. Это может включать кейлоггинг, мониторинг веб-камеры, получение истории браузера и многое другое. В данном конкретном случае исследователи обнаружили эксплойт в файле под названием «U.S. Allies and Rivals Digest Trump’s Victory», но, естественно, тематика в основном не имеет значения.
Учитывая примитивность атаки, трудно представить, сколько людей будет обмануто и позволит макросу делать плохие вещи. Даже всплывающее окно Office рекомендует опцию «Отключить макросы» с четкими предупреждениями о вирусах. Однако создатели эксплойтов знают, что им нужна лишь небольшая доля людей, нажавших «Включить макросы», чтобы это стоило их времени.
Другой случай вредоносного ПО, обнаруженный на этой неделе, опирался на другую классическую тактику Windows: имитацию обычного диалогового окна обновления программного обеспечения, которое загружает вредоносный код вместо подлинного приложения. Исследователи показывают, как вирус MacDownloader выдает себя за обновление Adobe Flash Player.
На самом деле, он собирает данные из Keychain пользователя, фишингом получает имена пользователей и пароли, а также собирает другие конфиденциальные личные данные, которые может найти. Затем он отправляет эти данные в удаленное место, где создатель вредоносного ПО может использовать их по своему усмотрению.
Эта атака более изощрена, чем случай с макросами Word, но все же относительно проста. Она основана на том, что люди нажимают на ссылку для обновления своего плагина Flash Player с веб-сайта, а затем запускают загруженный файл. Чтобы избежать подобной атаки, всегда проверяйте обновления с помощью системных инструментов (например, «Обновление программного обеспечения») или напрямую посещая сайт плагина. В современную эпоху, в которой мы живем, возможно, стоит полностью удалить Flash — это очень распространенный вектор атак.
Вирусы для Mac остаются редким явным явлением, но здравый смысл помогает избежать подобного. Никогда не позволяйте документам Word из неизвестных источников запускать макросы и никогда не загружайте обновления для программного обеспечения с случайных веб-сайтов в Интернете.