| 2 августа 2023 г. — 4:11 PT
Кибербезопасность Фирма Guardz обнаружила, что российские хакеры выставили на продажу инструмент Hidden VNC, специально разработанный для предоставления злоумышленникам полного доступа к Mac. Он следует за аналогичным инструментом для доступа к ПК с Windows и предназначен для кражи личных данных и логинов.
HVNC (Hidden Virtual Network Computer) продается в даркнете, и в знак доброй воли, что инструмент работает как заявлено, хакеры внесли 100 000 долларов на эскроу-счет…
Скрытый инструмент VNC
Guardz сообщает, что инструмент продвигается среди злоумышленников, которые хотят получить доступ к Mac, используемым в малом и среднем бизнесе, с целью кражи учетных данных.
Команда Guardz CIR исследовала известный российский форум киберпреступности «Exploit». Наша команда обнаружила еще один инструмент, доступный с апреля 2023 года, специально нацеленный на устройства macOS, принадлежащие МСП…
За пожизненную цену в 60 000 долларов США актер угрозы предоставит вам вредоносный инструмент, который поддерживает постоянство, работает без запроса каких-либо разрешений от пользователя, имеет обратную оболочку и удаленный файловый менеджер, и был протестирован на широком спектре версий macOS от 10 до 13.2.
HVNC — это вариант стандартного VNC. Среди прочего, обычные приложения VNC обычно используются ИТ-отделами при оказании удаленной поддержки Mac и ПК. Они позволяют сотруднику службы поддержки контролировать вашу машину, но вы должны предоставить разрешение, и вы можете наблюдать за их действиями.
HVNC гораздо опаснее, поскольку он предоставляет злоумышленнику те же возможности — использовать ваш Mac так, как будто он находится рядом с вами, — но без необходимости предоставлять разрешение и без возможности видеть, что он делает. Фактически, они создают совершенно отдельную сессию пользователя, полностью невидимую для вас.
Guardz обнаружил, что инструмент HVNC очень сложен. Он работает в скрытом режиме, что означает, что большинство инструментов, предназначенных для защиты Mac, не обнаружат его, и он является постоянным, поэтому его нельзя остановить и удалить, перезагрузив ваш Mac.
Фирма отметила, что продавец разместил 100 000 долларов на эскроу в качестве гарантии того, что вредоносное ПО работает как обещано.
Мало того, что у него есть статус «Продавец», — достижение, требующее одобрения администрацией подпольного форума, — но RastaFarEye также внес депозит в размере 100 000 долларов США в качестве гарантии.
Депозит в размере 100 000 долларов США (что эквивалентно 3,33 биткойна) помогает другим киберпреступникам понять, что человек, стоящий за этим профилем, является высокопрофильным актором. Эти деньги хранятся на эскроу-счете администрации форума в качестве своеобразной страховки на случай, если предлагаемый продукт не будет соответствовать описанию в исходном посте.
Как защитить себя
Хотя инструмент предлагается тем, кто хочет получить доступ к Mac, используемым в бизнесе, он будет одинаково эффективен против Mac, принадлежащих частным лицам.
Ключом к защите от такого типа угроз является поддержание вашего Mac в актуальном состоянии до последней доступной версии macOS для вашей машины. Например, это вредоносное ПО работает только на Mac до macOS Ventura 13.2 включительно, в то время как текущая версия — 13.4.1.
В остальном, стандартные меры кибергигиены являются ключевыми. Никогда не устанавливайте приложения из-за пределов Mac App Store, если вы не уверены в надежности разработчика. Никогда не открывайте неожиданные вложения, даже если они кажутся полученными от известного контакта. Никогда не нажимайте на ссылки в электронных письмах, если вы не уверены в их безопасности; всегда предпочтительнее получать доступ к сайтам из своих собственных закладок или набирая URL.
Via Macworld. Фото: Ali Mahmoudi/Unsplash.