| 10 янв 2025 г. — 7:54 PT
Security Bite от 9to5Mac эксклюзивно предоставляется Mosyle, единственной Унифицированной Платформой Apple. Мы занимаемся тем, чтобы устройства Apple были готовы к работе и безопасны для бизнеса. Наш уникальный интегрированный подход к управлению и безопасности объединяет передовые решения для безопасности Apple для полностью автоматизированного усиления защиты и соответствия требованиям, обнаружения угроз нового поколения, основанного на искусственном интеллекте нулевого доверия и эксклюзивного управления привилегиями с самым мощным и современным MDM для Apple на рынке. Результатом является полностью автоматизированная Унифицированная Платформа Apple, которой доверяют более 45 000 организаций для обеспечения готовности миллионов устройств Apple к работе без усилий и по доступной цене. Запросите свой РАСШИРЕННЫЙ ТЕСТ-ДРАЙВ сегодня и узнайте, почему Mosyle — это все, что вам нужно для работы с Apple.
Новый отчет от Check Point Research подробно описывает, как новый вариант печально известной вредоносной программы-стилера Banshee от русскоязычных киберпреступников перенимает некоторые методы безопасности Apple для уклонения от обнаружения. Вредоносная программа оставалась необнаруженной более двух месяцев, искусно используя те же методы шифрования, что и антивирусное средство обнаружения Mac XProtect.
Если вы являетесь постоянным читателем Security Bite, вы не раз слышали от меня (не более одного раза), что вредоносные программы-стилеры, обычно через бизнес-модели «вредоносное ПО как услуга» (MaaS), в настоящее время представляют собой самую большую угрозу для пользователей Mac. Они разрушительны, нацелены на пароли из iCloud Keychain, криптокошельки, конфиденциальную информацию из файлов и даже системные пароли, как скрытый низкоорбитальный ионный пушечный снаряд. Киберпреступники часто встраивают этот вредоносный код в кажущиеся законными приложения как уловку для заражения машин.
Интересно, что этот недавно обнаруженный вариант Banshee делает то, чего я никогда не видел и даже не знал, что это возможно. Вредоносная программа фактически «украла» алгоритм шифрования строк напрямую из антивирусного движка XProtect от Apple. Эта техника, обычно используемая Apple для защиты своих правил YARA в бинарных файлах XProtect Remediator, была перепрофилирована вредоносной программой для сокрытия своего вредоносного кода от обнаружения. Я больше рассказываю о правилах YARA и XProtect здесь.
Поскольку антивирусные программы привыкли видеть такой тип шифрования от легитимных инструментов безопасности Apple, они не помечали его как подозрительный.
Эта стратегия, использованная авторами вредоносной программы, оказалась довольно эффективной, пока ее собственные аффилиаты не слили исходный код на подпольных форумах в ноябре 2024 года. Вскоре после этого большинство антивирусных движков на VirusTotal были обновлены новыми сигнатурами, которые теперь могли обнаружить новый штамм. Авторы вредоносной программы прекратили свою деятельность на следующий день после утечки кода, согласно отчету. Он циркулировал как минимум 2 месяца необнаруженным.
«Злоумышленники распространяли эту новую версию в основном через фишинговые сайты и вредоносные репозитории GitHub. В некоторых кампаниях GitHub злоумышленники нацеливались как на пользователей Windows, так и на macOS с Lumma и Banshee Stealer», — говорится в отчете Check Point Research. Lumma — это еще один распространенный штамм вредоносного ПО-стилера, но он написан для пользователей Windows и нацелен на них.
Подробный анализ самой вредоносной программы можно найти в полном отчете Check Point.
Больше информации о безопасности Apple
- Как MacPaw делает кибербезопасность доступной для всех; мое эксклюзивное интервью из Киева Когда MacPaw предложил оплатить мою поездку в Киев, Украина, чтобы встретиться и взять интервью у людей, возглавляющих Moonlock, ее подразделение кибербезопасности, я воспользовался этой возможностью. Вот наш разговор
- Штат Вашингтон подает в суд на T-Mobile из-за утечки данных, затронувшей 79 миллионов человек. Раскрытые данные включали номера социального страхования, номера телефонов, физические адреса, уникальные номера IMEI и информацию из водительских удостоверений
- Умный дверной звонок от Apple стал бы верным выигрышем — для всех нас. Хотя можно утверждать, что оба являются обычными продуктами и что самый важный вклад Apple — это платформа HomeKit, а не оборудование, возможности здесь, похоже, не вызывают сомнений
- Mosyle эксклюзивно раскрывает 9to5Mac подробности о новом семействе загрузчиков вредоносных программ для Mac. Команда исследований безопасности Mosyle обнаружила, что эти новые угрозы написаны на нестандартных языках программирования и используют несколько других хитрых методов для уклонения от обнаружения