Security Global 24h
Între cele 2ndși 6adin mai, a Frână de mână linkul oglindă de descărcare software (download.handbrake.fr) a fost compromis, iar dezvoltatorii au postat un avertizare aviz pe 6adin luna mai pentru a ghida utilizatorii în stabilirea faptului că sistemele lor MacOS au fost infectate de notorul troian Proton Remote Access (RAT). Sa raportat că aproximativ 50% din toate descărcările efectuate în acel interval de timp au condus la sisteme de dispozitive infectate. Acum, cercetătorii de la Kaspersky au reușit să dea peste un predecesor al malware-ului Proton RAT, Calisto, despre care cred că a fost dezvoltat cu un an înainte de Proton, deoarece nu avea capacitatea de a ocoli System Integrity Protection (SIP) care solicită acreditări de administrator pentru editarea fișierelor fundamentale, o caracteristică care se îmbunătățea în acel moment. Cercetătorii Kaspersky au ajuns la concluzia că Calisto a fost abandonat în favoarea lui Proton, deoarece codul lui Calisto părea nepolitizat. Calisto a fost descoperit pe VirusTotal , și se pare că virusul a rămas acolo timp de doi-trei ani nedetectat până acum.
Proton RAT este un malware periculos și puternic lansat pentru prima dată la sfârșitul anului 2016, care folosește certificate autentice de semnare a codului Apple pentru a manipula sistemul și a obține acces root la dispozitivele MacOS. Programul malware poate ocoli toate măsurile de securitate în vigoare, inclusiv autentificarea cu doi factori a iCloud și protecția integrității sistemului, astfel încât să poată monitoriza de la distanță activitatea computerului prin înregistrarea tastelor, executând ferestre pop-up false pentru a colecta informații, capturi de ecran, vizualizarea de la distanță a tuturor activitatea de pe ecran, extragerea fișierelor de date de interes și urmărirea utilizatorului prin camera web. Se pare că există o modalitate simplă de a elimina malware-ul odată detectat, dar dacă se constată că a fost activ pe sistem (dacă procesul „Activity_agent” apare în aplicația Activity Monitor de pe dispozitiv), utilizatorii pot fi siguri că au a stocat toate parolele lor și a accesat orice date salvate în browsere sau în propriul breloc Mac. Prin urmare, utilizatorii sunt rugați să le schimbe instantaneu pe un dispozitiv curat pentru a evita compromiterea datelor lor financiare și online.
Ceea ce este mai interesant la Proton RAT este că, potrivit New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) , creatorul malware-ului l-a promovat ca un software de monitorizare pentru corporații și chiar părinți pentru monitorizarea utilizării la domiciliu a activității digitale a copiilor lor. Acest software a avut un preț între 1.200 USD și 820.000 USD, pe baza licențelor și caracteristicilor acordate utilizatorului. Aceste caracteristici de „monitorizare” au fost însă ilegale și pe măsură ce hackerii au pus mâna pe cod, programul a fost trimis prin multe descărcări sub videoclipuri YouTube, portaluri web compromise, software-ul HandBrake (în cazul căruia HandBrake-1.0. 7.dmg a fost înlocuit cu un fișier OSX.PROTON) și prin dark web. Deși utilizatorii nu au de ce să se teamă de Calisto atâta timp cât SIP-ul este activat și funcționează, cercetătorii găsesc alarmantă capacitatea codului de a manipula sistemul cu acreditări autentice Apple și se tem de ce programe malware viitoare ar putea face folosind același mecanism. În acest stadiu Proton RAT este detașabil odată detectat. Cu toate acestea, lucrând la aceeași manipulare fundamentală a certificatelor, malware-ul s-ar putea închide în curând la sisteme ca agent permanent.
