Biztonság globális 24h
A 2 közöttndés 6thmájus, a Kézifék a szoftverletöltés tükrös linkjét (download.handbrake.fr) feltörték, és a fejlesztők a Figyelem értesítés a 6-onthmájusban, hogy segítse a felhasználókat annak eldöntésében, hogy MacOS-rendszereiket megfertőzte-e a hírhedt Proton Remote Access Trojan (RAT). Beszámoltak arról, hogy az adott időkeretben végrehajtott összes letöltés körülbelül 50% -a fertőzött eszközrendszert eredményezett. Most a Kaspersky sikerült megbotlani a Proton RAT kártevő elődjét, a Calistót, amelyet véleményük szerint egy évvel a Proton előtt fejlesztettek ki, mivel nem volt képes megkerülni a rendszerintegritás-védelmet (SIP), amely rendszergazdai hitelesítő adatokat igényel az alapvető fájlok szerkesztéséhez, egy olyan funkció, amelyet akkor fejlesztettek. A Kaspersky kutatói arra a következtetésre jutottak, hogy Calistót elhagyták Proton javára, mivel Calisto kódja csiszolatlannak tűnt. Calistót felfedezték VirusTotal , és úgy tűnik, hogy a vírus két-három évig maradt észrevétlenül mindeddig.
A Proton RAT egy veszélyes és erőteljes kártevő, amelyet először 2016 végén adtak ki és amely eredeti Apple kód-aláíró tanúsítványokat használ a rendszer manipulálására és root hozzáférésre a MacOS-eszközökön. A rosszindulatú program képes megkerülni az összes alkalmazott biztonsági intézkedést, beleértve az iCloud kétfaktoros hitelesítését és a Rendszerintegritás-védelmet, így távvezérléssel nyomon követheti a számítógépes tevékenységet a billentyűleütések naplózásával, hamis előugró ablakok végrehajtásával információk gyűjtése, képernyőképek készítése, az összes távoli megtekintése a képernyőn végzett tevékenység, az érdekes adatfájlok kinyerése és a felhasználó webkameráján keresztüli figyelése. Úgy tűnik, hogy van egy egyszerű módszer a rosszindulatú programok eltávolítására, miután észlelték, de ha kiderül, hogy aktív volt a rendszerben (ha az „Activity_agent” folyamat megjelenik az eszköz Activity Monitor alkalmazásában), a felhasználók biztosak lehetnek abban, hogy tárolta az összes jelszavát, és elérte a böngészőkbe vagy a Mac saját kulcstartójába mentett adatokat. Ezért a felhasználókat arra kérjük, hogy azonnal változtassák meg őket tiszta eszközön, hogy ne veszélyeztessék pénzügyi és online adataikat.
A legérdekesebb a Proton RAT-ban az, hogy a New Jersey kiberbiztonsági és kommunikációs integrációs cellája (NJCCIC) , a rosszindulatú program készítője figyelőszoftverként hirdette a vállalatok, sőt a szülők számára gyermekeik digitális tevékenységének otthoni ellenőrzésére. Ez a szoftver az USD és 820 000 USD közötti árcédulát viselte a licencelés és a felhasználó számára biztosított szolgáltatások alapján. Ezek a „figyelő” funkciók azonban illegálisak voltak, és mivel a hackerek rátaláltak a kódra, a programot számos letöltéssel küldték el YouTube-videók, veszélyeztetett internetes portálok, a HandBrake szoftver (ezek esetében a HandBrake-1.0) alatt. A 7.dmg-t egy OSX.PROTON fájlra cserélték), és a sötét hálózaton keresztül. Bár a felhasználóknak nincs mitől tartaniuk a Calistótól, amíg az SIP engedélyezve van és működik, a kutatók riasztónak tartják a kód azon képességét, hogy a rendszer hiteles Apple hitelesítő adatokkal manipulálható, és attól tartanak, hogy a jövőbeli rosszindulatú programok képesek lennének ugyanazon mechanizmus alkalmazásával. Ebben a szakaszban a Proton RAT kivehető, miután észlelte. Ugyanezen alapvető tanúsítvány-manipuláción dolgozva a kártevő azonban hamarosan állandó ügynökként kapcsolódhat a rendszerekhez.
