Czy MacOS X oznacza ryzyko dla firmy?

Masowe infekcje złośliwym oprogramowaniem są codziennością w świecie stacji roboczych z Windows. Rośnie też zagrożenie platformy MacOS X, która dotąd nie była narażona na ataki cyberprzestępców.

Zagrożenia w postaci złośliwego oprogramowania dla platformy MacOS X nie są niczym nowym. W roku 2006 robak sieciowy Leap roznosił się przez iChat, RSPlug w 2007 wprowadzał modyfikację usług DNS, podobną technikę zastosował wirus Jaylay rok później. W 2008 dwa wirusy - MacSweeper oraz iMunizator - były odpowiedzialne za znaczną część zagrożeń komputerów z MacOS X, z kolei trojan Krowi w styczniu 2009 spowodował pierwszy w historii botnet utworzony z komputerów Mac. W kwietniu 2010 piracka wersja iPhoto zawierała trojana HellRTS, który umożliwiał zdalną kontrolę zainfekowanego komputera. Obecnie Mac Defender zaraził tak dużą liczbę komputerów, że firma Apple zdecydowała się wydać narzędzie przeznaczone do jego usuwania. Po kilkudziesięciu godzinach powstała jednak mutacja programu obchodząca zabezpieczenia.

Antywirus, który zaraża

MacSweeper, iMunizator oraz najnowszy Mac Defender to typowe konie trojańskie instalowane w celach reklamowych. Są instalowane w celu reklamy fałszywego oprogramowania antywirusowego, różnych usług i towarów, których nie można by było reklamować w normalnych kampaniach. Od kilku lat w ten sposób są atakowani użytkownicy Windows. Obecnie cyberprzestępcy zaadaptowali ten pomysł i taktykę do platformy Mac.

Rik Ferguson, starszy doradca ds. bezpieczeństwa w firmie Trend Micro, mówi: "Pierwszym etapem zarażenia jest strona pozycjonowana w wyszukiwarkach przy popularnych zapytaniach, wykorzystująca błąd w przeglądarce Safari lub którejś z wtyczek w niej pracujących. Twórcy najnowszej wersji Mac Defendera obchodzą nawet wymaganie podania hasła administratora do instalacji. Aplikacja na pierwszy rzut oka wygląda profesjonalnie i informuje użytkownika o wielu problemach z bezpieczeństwem. Jednocześnie proponuje zakup fałszywego oprogramowania, które ma naprawić te nieistniejące problemy".

Fałszywy kodek

RSPlug oraz Jahlay były rozpowszechniane jako instalatory fałszywych kodeków, wykorzystując te same metody socjotechniczne, które są od lat znane w środowisku PC. Po instalacji oprogramowanie przejmuje połączenia do takich stron, jak eBay, PayPal i kilku portali samoobsługowych bankowości elektronicznej. W niektórych przypadkach strona hostująca rozróżnia system operacyjny klienta i podstawia właściwą wersję trojana. Oznacza to, że cyberprzestępcy widzą rynek komputerów Mac jako lukratywne miejsce zarobku. Jednocześnie w wielu kampaniach spamowych na forach dyskusyjnych związanych z komputerami z jabłuszkiem pojawiają się komentarze prowadzące do takich stron - to objaw skoordynowanej kampanii.

Rik Ferguson dodaje: "Dystrybuowane pliki złośliwego oprogramowania są ze sobą powiązane. Stanowią one rodzinę programów, w której każda następna wersja jest ciągle wydawana, w celu ominięcia zabezpieczeń bazujących na sygnaturach".

Oprogramowanie wykorzystujące sygnatury stało się przestarzałe już w 2005 r., gdy upowszechniły się wirusy polimorficzne. Wszystkie dzisiejsze programy antywirusowe mają narzędzia analizy kodu, niektóre z nich korzystają z technologii cloud computing, by szybko i masowo analizować linki, skąd pobierane jest złośliwe oprogramowanie. Tymczasem system operacyjny MacOS X ma jedynie elementarny i rzadko aktualizowany filtr bazujący na sygnaturach, który łatwo obejść, wydając możliwie często nowe wersje kodu.

Kodeki i wtyczki

Żądanie instalacji fałszywego kodeka lub "nowej wersji wtyczki Flash" jest powszechnie znane w środowisku Windows, zatem wykorzystywanie jej do zarażania komputerów z systemem MacOS X należy potraktować jako bardzo ważne ostrzeżenie. Zarówno wirusy, jak i narzędzia antywirusowe dla platformy Mac istniały jeszcze przed wydaniem MacOS X. Należy jednak podkreślić, że w ostatnich latach nastąpiła duża zmiana w sposobie wykorzystywania złośliwego oprogramowania, między innymi komercjalizacja ataków oraz konsolidacja podziemnych kampanii. Gdy zestawić ten fakt z sukcesem komercyjnym Apple, przekonaniami użytkowników i niechęcią do instalacji oprogramowania antywirusowego, widać wyraźnie, że ta nisza konsumencka zostanie niebawem zagospodarowana przez cyberprzestępców.