Lukáš Petránek 
24palcový iMac
Nedávno objevený vzorek malwaru macOS pokračuje v trendu útoků na ekosystém společnosti Apple, ale v současném stavu nepředstavuje pro uživatele Maců zásadní hrozbu.
Výrobci malwaru vidí macOS jako větší cíl než kdy jindy a zesílili své pokusy o infiltraci operačního systému Apple. Ne všechny pokusy však lze považovat za hrozbu pro běžného uživatele.
Analýza nového ransomwaru „Turtle“ od Patricka Wardle of Cíl-viz podrobně popisuje jeden vzorek malwaru macOS, který měl všechny součásti ransomwaru. Byl však nalezen ve stavu, který by uškodil jen těm, kteří byli k nákaze důkladně rozhodnuti.
Název „Turtle“ pochází z prozkoumání kódu, který byl napsán v Go. Interní odkazy na „Turtlerans“ a „TurmiRansom“ a také soubory s předponou „TurtleRansom“ znamenaly, že bylo snadné pojmenovat malware.
Počáteční rozdělení souboru zip ukázky ukazuje, že malware byl zkompilován pro mnoho populárních platforem a architektur, včetně Windows, Linuxu a macOS. Soubory .pkg macOS nebyly balíčky, ale ukázalo se, že jde o spustitelné soubory Mach-O kompilované pro počítače Intel a Apple Silicon Mac.
Bylo také zjištěno, že malware byl nejprve vyvinut pro Windows, než byl přenesen na macOS. Odkazy na Windows znamenaly, že po pouhých dvou dnech měl na VirusTotal vysokou míru nahlášení 24 z 62 dodavatelů zabezpečení, což je pro malware macOS neobvyklý výkon.
Rozebrat to
Kontrola malwaru zjistí, že kód je podepsaný, aby mohl běžet na macOS. Protože je však podepsán adhoc a není notářsky ověřen, měl by macOS Gatekeeper blokovat jeho spuštění, pokud jej uživatelé nepovolí spustit, i když může být také nasazen pomocí nějaké formy exploitu.
Pokusy o extrahování vložených řetězců dopadly velmi dobře, protože zdánlivě neexistovaly žádné pokusy je zatemnit. To, co bylo nalezeno, sestávalo z řetězců umožňujících poměrně jednoduché nastavení ransomwaru.
Vzhledem k tomu, že šifrování bylo provedeno pomocí Go crypto/AES knihovny, bylo docela triviální vyzvednout ransomwarový klíč s pečlivě umístěným bodem přerušení. Stejný pevně zakódovaný klíč byl také nalezen v paměti.
„Protože AES je symetrický a klíč je zde pevně zakódován, je pro nás triviální napsat dešifrovací nástroj,“ píše Wardle, než vytvoří dešifrovací nástroj a otestuje jej.
Zatím většinou neškodné
„V tomto případě je nepravděpodobné, že by průměrný uživatel macOS byl tímto vzorem macOS ovlivněn,“ uvádí zpráva. Když vstoupí Gatekeeper, vyžaduje to, aby uživatelé zcela ignorovali bezpečnostní krok, neobvyklé nastavení zabezpečení nebo aby byl malware spuštěn prostřednictvím jiného exploitu, aby bylo možné začít šifrovat soubory.
Apple také podnikl kroky, aby byl „poměrně proaktivní při zmírňování útoků ransomwaru na macOS“ s implementací SIP a systémových svazků pouze pro čtení, které chrání základní soubory OS. TCC ochrany uživatelských souborů v chráněných adresářích také pomáhají omezit účinky ransomwaru.
Zatímco většina uživatelů počítačů Mac se nebude muset o Turtle ransomware příliš starat, jeho existence je dalším důvodem, proč „nám dát pauzu kvůli obavám,“ píše Wardle, a také pomoci zahájit konverzaci o způsobech, jak takové vzorky a útoky detekovat a předcházet jim. od výskytu do macOS.
Jak se chránit před Turtle ransomwarem
V současném stavu nemusí uživatelé tolik dělat, aby se ochránili před účinky ransomwaru Turtle. Jediné, co je opravdu potřeba dodržovat, je dobrá počítačová hygiena.
Například dávat pozor na Gatekeeper a další bezpečnostní výzvy macOS při spouštění aplikací nebo otevírání souborů nebo stahování softwaru pouze z renomovaných nebo známých bezpečných online zdrojů. Také neotevírat slepě soubory odeslané z neznámých zdrojů přes e-mail je dobrý krok.
Být rozumný online by měl zajistit bezpečnost většiny lidí obecně, ať už ransomware nebo ne.
Zdroj: appleinsider.com
