- macOS сталкивается с новой угрозой вымогательства: NotLockBit
- Вредоносное ПО NotLockBit имеет возможности блокировки файлов
- Встроенные средства защиты Apple сталкиваются с проблемами из-за развивающихся угроз программ-вымогателей.
В течение многих лет атаки программ-вымогателей в основном были нацелены на платформы Windows и Linux, но киберпреступники начали переключать свое внимание на пользователей macOS, утверждают эксперты.
Недавнее обнаружение macOS.NotLockBit сигнализирует об изменении ситуации, поскольку это недавно выявленное вредоносное ПО, названное в честь печально известного варианта LockBit, может ознаменовать начало более серьезных кампаний по вымогательству против пользователей Mac.
Обнаружено исследователями Trend Micro и позднее проанализировано Сентинел ЛабораторииmacOS.NotLockBit демонстрирует надежные возможности блокировки файлов и кражи данных, что представляет потенциальный риск для пользователей macOS.
угроза macOS.NotLockBit
Программы-вымогатели, нацеленные на устройства Mac, обычно не имеют необходимых инструментов для полной блокировки файлов или кражи данных. По общему мнению, macOS лучше защищена от угроз этого типа, отчасти благодаря встроенным функциям безопасности Apple, таким как: B. Защита TCC (прозрачность, согласие и контроль). Однако появление macOS.NotLockBit сигнализирует о том, что хакеры активно разрабатывают более сложные методы атаки на устройства Apple.
macOS.NotLockBit работает аналогично другим программам-вымогателям, но нацелен конкретно на системы macOS. Вредоносная программа работает только на компьютерах Mac на базе процессоров Intel или Apple Silicon Mac с установленным программным обеспечением эмуляции Rosetta, которое позволяет запускать двоичные файлы x86_64 на новых процессорах Apple.
При запуске программа-вымогатель собирает системную информацию, включая название продукта, версию и архитектуру. Также собираются данные о том, как долго работала система с момента последней перезагрузки. Прежде чем заблокировать файлы пользователя, macOS.NotLockBit пытается перенести данные на удаленный сервер с помощью хранилища Amazon Web Services (AWS) S3. Вредоносная программа использует открытый ключ для асимметричного шифрования, а это означает, что расшифровка практически невозможна без закрытого ключа злоумышленника.
Вредоносная программа помещает файл README.txt в каталоги, содержащие зашифрованные файлы. Зашифрованные файлы помечаются расширением «.abcd», а файл README сообщает жертвам, как восстановить свои файлы, обычно заплатив выкуп. Кроме того, в более поздних версиях вредоносного ПО macOS.NotLockBit отображает обои рабочего стола в стиле LockBit 2.0, перенимая брендинг группы вымогателей LockBit.
К счастью, защита Apple TCC для macOS.NotLockBit остается крепким орешком. Эти меры безопасности требуют согласия пользователя, прежде чем предоставлять доступ к конфиденциальным каталогам или разрешать контроль над такими процессами, как системные события. Хотя это создает препятствие для полной функциональности программы-вымогателя, обход защиты TCC не является непреодолимым, и эксперты по безопасности полагают, что в будущих версиях вредоносного ПО могут быть разработаны способы обхода этих предупреждений.
Исследователи из SentinelLabs и Trend Micro еще не определили конкретный метод распространения, и на данный момент жертвы неизвестны. Однако быстрая эволюция вредоносного ПО, о чем свидетельствует увеличение размера и сложности каждого нового образца, позволяет предположить, что злоумышленники активно работают над улучшением своих возможностей.
SentinelLabs выявила несколько версий вредоносного ПО, что позволяет предположить, что macOS.NotLockBit все еще находится в активной разработке. Ранние примеры оказались менее функциональными и ориентированы исключительно на шифрование. В более поздних версиях были добавлены возможности кражи данных и началось использование облачного хранилища AWS S3 для кражи украденных файлов. Злоумышленники жестко запрограммировали учетные данные AWS во вредоносное ПО, чтобы создать новые репозитории для хранения данных жертвы. Однако с тех пор эти учетные записи были деактивированы.
В одной из последних версий macOS.NotLockBit требуется macOS Sonoma, что говорит о том, что разработчики вредоносного ПО нацелены на некоторые из последних версий macOS. Также были выявлены попытки обфускации кода, что позволяет предположить, что злоумышленники тестируют различные методы уклонения от обнаружения антивирусным ПО.
Вам также может понравиться это
