macOS сталкивается с новой угрозой вымогателей NotLockBit Вредоносное ПО NotLockBit демонстрирует возможности блокировки файлов
Встроенная защита Apple сталкивается с проблемами из-за развивающихся угроз вымогателей
В течение многих лет атаки вымогателей были в основном нацелены на платформы Windows и Linux, но киберпреступники начинают переключать свое внимание на пользователей macOS, говорят эксперты.
Недавнее обнаружение macOS.NotLockBit сигнализирует об изменении ситуации, поскольку эта недавно выявленная вредоносная программа, названная в честь печально известного варианта LockBit, может ознаменовать начало более серьезных кампаний вымогателей против пользователей Mac.
Обнаруженный исследователями Trend Micro и позже проанализированный Sentinel Labs, macOS.NotLockBit предлагает надежные возможности блокировки файлов и перехвата данных, что представляет потенциальный риск для пользователей macOS. Угроза macOS.NotLockBit
Программы-вымогатели, нацеленные на устройства Mac, часто не имеют необходимых инструментов для фактической блокировки файлов или извлечения данных. Общее мнение таково, что macOS лучше защищена от этих типов угроз, отчасти благодаря встроенным функциям безопасности Apple, таким как защита Transparency, Consent, and Control (TCC). Однако появление macOS.NotLockBit указывает на то, что хакеры активно разрабатывают более продвинутые методы для атак на устройства Apple.
macOS.NotLockBit функционирует аналогично другим программам-вымогателям, но нацелен специально на системы macOS. Вредоносная программа работает только на компьютерах Mac на базе Intel или Apple Silicon Mac с установленным программным обеспечением эмуляции Rosetta, которое позволяет исполняемым файлам x86_64 запускаться на новых процессорах Apple.
При запуске программа-вымогатель собирает системную информацию, включая название продукта, версию и архитектуру. Она также собирает данные о том, как долго система работала с момента последнего перезапуска. Перед блокировкой файлов пользователя macOS.NotLockBit пытается перенести данные на удаленный сервер с помощью хранилища Amazon Web Services (AWS) S3. Вредоносная программа использует открытый ключ для асимметричного шифрования, что означает, что расшифровка без закрытого ключа злоумышленника практически невозможна.
Вредоносная программа помещает файл README.txt в папки, содержащие зашифрованные файлы. Зашифрованные файлы помечаются расширением «.abcd», а README инструктирует жертв, как восстановить свои файлы, обычно заплатив выкуп. Кроме того, в более поздних версиях вредоносной программы macOS.NotLockBit отображает обои рабочего стола в стиле LockBit 2.0, принимая брендинг группы программ-вымогателей LockBit.
Подпишитесь на рассылку новостей Ny Breaking и получайте все лучшие новости, мнения, функции и рекомендации, необходимые вашему бизнесу для успеха!
К счастью, защита TCC от Apple остается крепким орешком для взлома macOS.NotLockBit. Эти средства защиты требуют согласия пользователя перед предоставлением доступа к конфиденциальным папкам или включением контроля над такими процессами, как системные события. Хотя это создает препятствие для полной функциональности программы-вымогателя, обход защиты TCC не является непреодолимым, и эксперты по безопасности ожидают, что будущие версии вредоносного ПО разработают способы обхода этих предупреждений.
Исследователи SentinelLabs и Trend Micro пока не определили конкретный метод распространения, и на данный момент нет известных жертв. Однако быстрое развитие вредоносного ПО, о чем свидетельствует увеличение размера и сложности каждого нового экземпляра, указывает на то, что злоумышленники активно работают над улучшением его возможностей.
SentinelLabs выявила несколько версий вредоносного ПО, что указывает на то, что macOS.NotLockBit все еще находится в активной разработке. Ранние образцы казались менее функциональными и были сосредоточены исключительно на шифровании. Более поздние версии добавили возможности эксфильтрации данных и начали использовать облачное хранилище AWS S3 для эксфильтрации украденных файлов. Злоумышленники жестко закодировали учетные данные AWS во вредоносное ПО, чтобы создать новые репозитории для хранения данных жертв, хотя с тех пор эти учетные записи были деактивированы.
В одной из последних версий macOS.NotLockBit требует macOS Sonoma, что указывает на то, что разработчики вредоносного ПО нацелены на некоторые из последних версий macOS. Также были показаны попытки обфускации кода, что указывает на то, что злоумышленники тестируют различные методы, чтобы избежать обнаружения антивирусным ПО. Вам также может понравиться
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
