💬 Исследователь безопасности Apple утверждает, что последняя вредоносная криптографическая программа для MacOS преувеличена

Исследователь безопасности Apple утверждает, что последняя вредоносная криптографическая программа для MacOS преувеличена

Как сообщили на прошлой неделе исследователи из компании Check Point, занимающейся кибербезопасностью, новому штамму вредоносного ПО для macOS удалось обходить антивирусные системы на протяжении более двух месяцев, заимствуя схему шифрования из инструментов безопасности Apple.

Основные СМИ быстро подхватили эту историю: Forbes предупредил о «реальных и текущих опасностях», а New York Post со ссылкой на Check Point сообщила, что более 100 миллионов пользователей Apple могут «стать жертвами».

Однако исследователь безопасности Apple утверждает, что эта ситуация может быть скорее шумихой, чем угрозой.

«В этом конкретном образце нет ничего особенного», — рассказал Патрик Уордл, генеральный директор стартапа DoubleYou, занимающегося безопасностью конечных точек, в интервью Decrypt через Signal.

Хотя вредоносное ПО, по всей видимости, нацелено на «программные криптокошельки» и по-прежнему вызывает беспокойство, Уордл утверждает, что оно привлекло непропорционально большое внимание средств массовой информации.

Этому нужно больше контекста, так как СМИ сходят с ума, раздувая это на 1000% ? Оригинальный пост от @_cpresearch_ хорошо справляется с задачей, в основном придерживаясь технических деталей: https://t.co/vgfzBztOti pic.twitter.com/hYBTskphZb — Патрик Уордл (@patrickwardle) 12 января 2025 г.

Этому нужно больше контекста, так как СМИ сходят с ума по этому поводу, раздувая его на 1000% ?

Оригинальный пост от @_cpresearch_ хорошо справляется с задачей, в основном придерживаясь технических деталей: https://t.co/vgfzBztOti pic.twitter.com/hYBTskphZb

— Патрик Уордл (@patrickwardle) 12 января 2025 г.

Вредоносная программа, получившая название Banshee, работала как «угонщик-как-услуга» стоимостью $3000, нацеленная на криптокошельки и учетные данные браузера. Операция внезапно прекратилась в ноябре прошлого года, когда исходный код вредоносной программы просочился на подпольные форумы, что побудило ее создателей закрыть сервис.

Отличительной чертой Banshee является его искусная имитация алгоритма шифрования строк антивируса Apple XProtect, что позволяет ему работать незамеченным с конца сентября по ноябрь 2024 года.

Анализ Check Point показывает, что эта тактика помогла ему обойти инструменты безопасности и атаковать пользователей криптовалют через вредоносные репозитории GitHub и фишинговые сайты.

Хотя его методы уклонения от угона выглядят сложными, Уордл описывает его основные возможности кражи как относительно базовые.

По словам Уордла, такая характеристика упускает из виду важный технический контекст.

«XOR — это самый базовый тип обфускации», — объясняет он, ссылаясь на метод шифрования, который использовали и Apple, и Banshee. «Тот факт, что Banshee использовал тот же подход, что и Apple, не имеет значения».

Примечательно, что Уордл утверждает, что последние версии macOS уже блокируют этот тип угроз по умолчанию. «Из коробки macOS будет блокировать большинство вредоносных программ», — отмечает он. «По сути, для среднестатистического пользователя Mac нет никакого риска».

Ранее работавший исследователем в области безопасности в Агентстве национальной безопасности США, Уордл отмечает, что недавние изменения в системе безопасности macOS повлияли на то, как подписывается или «нотариально заверяется» (в технической терминологии Apple) программное обеспечение, работающее на устройстве.

Несмотря на то, что существуют более сложные угрозы, такие как эксплойты нулевого дня, Уордл предлагает сосредоточиться на фундаментальных методах обеспечения безопасности, а не на каком-либо конкретном штамме вредоносного ПО.

«Всегда есть компромисс между безопасностью и удобством использования», — говорит он. «Apple идет по этой линии».

Этот случай наглядно демонстрирует, как угрозы безопасности могут быть неправильно донесены до общественности, особенно когда технические нюансы теряются при переводе.

«Существуют сложные вредоносные программы [...], но это не одна из них», — сказал Уордл.

Под редакцией Себастьяна Синклера