Security Global 24h
Между 2ndи 6тиот май, a Ръчна спирачка огледалната връзка за изтегляне на софтуер (download.handbrake.fr) беше компрометирана и разработчиците публикуваха внимание известие на 6тиот май, за да насочи потребителите при определяне дали техните MacOS системи са заразени от прословутия троянски кон Proton Remote Access (RAT). Съобщава се, че приблизително 50% от всички изтегляния, извършени през този период, водят до заразени системи от устройства. Сега изследователи от Касперски са успели да се натъкнат на предшественика на зловредния софтуер на Proton RAT, Calisto, който според тях е разработен година преди Proton, тъй като не е имал способността да заобиколи System Integrity Protection (SIP), който изисква администраторски идентификационни данни за редактиране на основни файлове, функция, която се подобряваше по това време. Изследователите на Kaspersky заключават, че Калисто е изоставен в полза на Протон, тъй като кодът на Калисто изглежда неполиран. Калисто е открит на VirusTotal и изглежда, че вирусът е останал там в продължение на две до три години, неоткрит досега.
Proton RAT е опасен и мощен зловреден софтуер, пуснат за първи път в края на 2016 г., който използва оригинални сертификати за подписване на код на Apple, за да манипулира системата и да получи root достъп в MacOS устройства. Злонамереният софтуер е в състояние да заобиколи всички налични мерки за сигурност, включително двуфакторното удостоверяване на iCloud и защитата на системната цялост, така че да може дистанционно да наблюдава активността на компютъра, като регистрира натискания на клавиши, изпълнява фалшиви изскачащи прозорци за събиране на информация, правене на екранни снимки, преглед на всички активността на екрана, извличане на файлове с данни, които представляват интерес, и гледане на потребителя през неговата уеб камера. Изглежда, че има прост начин за премахване на злонамерения софтуер, след като бъде открит, че е бил активен в системата (ако процесът 'Activity_agent' се появи в приложението за мониторинг на дейността на устройството), потребителите могат да бъдат сигурни, че той е съхраняват всичките си пароли и имат достъп до всички данни, запазени в браузърите или собствения ключодържател на Mac. Поради това се изисква потребителите незабавно да ги сменят на чисто устройство, за да избегнат компрометиране на техните финансови и онлайн данни.
Най-интересното за Proton RAT е, че според Клетка за интеграция на киберсигурността и комуникациите в Ню Джърси (NJCCIC) , създателят на зловредния софтуер го рекламира като софтуер за наблюдение на корпорации и дори родители за домашно наблюдение на дигиталната активност на децата им. Този софтуер имаше цена между 1200 и 820 000 щатски долара въз основа на лицензирането и функциите, предоставени на потребителя. Тези функции за „наблюдение“ обаче бяха незаконни и тъй като хакерите се докопаха до кода, програмата беше изпратена чрез много изтегляния под видеоклипове в YouTube, компрометирани уеб портали, софтуер HandBrake (в случая HandBrake-1.0. 7.dmg беше заменен с файл OSX.PROTON) и през тъмната мрежа. Въпреки че потребителите нямат от какво да се страхуват с Calisto, докато техният SIP е активиран и работи, изследователите смятат, че способността на кода да манипулира системата с автентични идентификационни данни на Apple е тревожна и се опасяват какво може да направи бъдещият зловреден софтуер, използвайки същия механизъм. На този етап Proton RAT е подвижен, след като бъде открит. Работейки върху една и съща манипулация на основния сертификат, обаче зловредният софтуер скоро може да се прикрепи към системите като постоянен агент.
