Czy MacOS X oznacza ryzyko dla firmy?

Masowe infekcje złośliwym oprogramowaniem są codziennością w świecie stacji roboczych z Windows. Rośnie też zagrożenie platformy MacOS X, która dotąd nie była narażona na ataki cyberprzestępców.

Zagrożenia w postaci złośliwego oprogramowania dla platformy MacOS X nie są niczym nowym. W roku 2006 robak sieciowy Leap roznosił się przez iChat, RSPlug w 2007 wprowadzał modyfikację usług DNS, podobną technikę zastosował wirus Jaylay rok później. W 2008 dwa wirusy - MacSweeper oraz iMunizator - były odpowiedzialne za znaczną część zagrożeń komputerów z MacOS X, z kolei trojan Krowi w styczniu 2009 spowodował pierwszy w historii botnet utworzony z komputerów Mac. W kwietniu 2010 piracka wersja iPhoto zawierała trojana HellRTS, który umożliwiał zdalną kontrolę zainfekowanego komputera. Obecnie Mac Defender zaraził tak dużą liczbę komputerów, że firma Apple zdecydowała się wydać narzędzie przeznaczone do jego usuwania. Po kilkudziesięciu godzinach powstała jednak mutacja programu obchodząca zabezpieczenia.

Antywirus, który zaraża

MacSweeper, iMunizator oraz najnowszy Mac Defender to typowe konie trojańskie instalowane w celach reklamowych. Są instalowane w celu reklamy fałszywego oprogramowania antywirusowego, różnych usług i towarów, których nie można by było reklamować w normalnych kampaniach. Od kilku lat w ten sposób są atakowani użytkownicy Windows. Obecnie cyberprzestępcy zaadaptowali ten pomysł i taktykę do platformy Mac.

Rik Ferguson, starszy doradca ds. bezpieczeństwa w firmie Trend Micro, mówi: "Pierwszym etapem zarażenia jest strona pozycjonowana w wyszukiwarkach przy popularnych zapytaniach, wykorzystująca błąd w przeglądarce Safari lub którejś z wtyczek w niej pracujących. Twórcy najnowszej wersji Mac Defendera obchodzą nawet wymaganie podania hasła administratora do instalacji. Aplikacja na pierwszy rzut oka wygląda profesjonalnie i informuje użytkownika o wielu problemach z bezpieczeństwem. Jednocześnie proponuje zakup fałszywego oprogramowania, które ma naprawić te nieistniejące problemy".

Fałszywy kodek

RSPlug oraz Jahlay były rozpowszechniane jako instalatory fałszywych kodeków, wykorzystując te same metody socjotechniczne, które są od lat znane w środowisku PC. Po instalacji oprogramowanie przejmuje połączenia do takich stron, jak eBay, PayPal i kilku portali samoobsługowych bankowości elektronicznej. W niektórych przypadkach strona hostująca rozróżnia system operacyjny klienta i podstawia właściwą wersję trojana. Oznacza to, że cyberprzestępcy widzą rynek komputerów Mac jako lukratywne miejsce zarobku. Jednocześnie w wielu kampaniach spamowych na forach dyskusyjnych związanych z komputerami z jabłuszkiem pojawiają się komentarze prowadzące do takich stron - to objaw skoordynowanej kampanii.

Rik Ferguson dodaje: "Dystrybuowane pliki złośliwego oprogramowania są ze sobą powiązane. Stanowią one rodzinę programów, w której każda następna wersja jest ciągle wydawana, w celu ominięcia zabezpieczeń bazujących na sygnaturach".

Oprogramowanie wykorzystujące sygnatury stało się przestarzałe już w 2005 r., gdy upowszechniły się wirusy polimorficzne. Wszystkie dzisiejsze programy antywirusowe mają narzędzia analizy kodu, niektóre z nich korzystają z technologii cloud computing, by szybko i masowo analizować linki, skąd pobierane jest złośliwe oprogramowanie. Tymczasem system operacyjny MacOS X ma jedynie elementarny i rzadko aktualizowany filtr bazujący na sygnaturach, który łatwo obejść, wydając możliwie często nowe wersje kodu.

Kodeki i wtyczki

Żądanie instalacji fałszywego kodeka lub "nowej wersji wtyczki Flash" jest powszechnie znane w środowisku Windows, zatem wykorzystywanie jej do zarażania komputerów z systemem MacOS X należy potraktować jako bardzo ważne ostrzeżenie. Zarówno wirusy, jak i narzędzia antywirusowe dla platformy Mac istniały jeszcze przed wydaniem MacOS X. Należy jednak podkreślić, że w ostatnich latach nastąpiła duża zmiana w sposobie wykorzystywania złośliwego oprogramowania, między innymi komercjalizacja ataków oraz konsolidacja podziemnych kampanii. Gdy zestawić ten fakt z sukcesem komercyjnym Apple, przekonaniami użytkowników i niechęcią do instalacji oprogramowania antywirusowego, widać wyraźnie, że ta nisza konsumencka zostanie niebawem zagospodarowana przez cyberprzestępców.

To tylko kwestia ROI

Od wielu lat użytkownicy komputerów Apple twierdzą, że problem złośliwego oprogramowania ich nie dotyczy, zatem nie robili nic w celu ochrony. Użytkownicy byli atakowani reklamą, w której podkreślano odporność na wirusy, zatem użytkownicy są przekonani, że na platformę Mac nie ma złośliwego oprogramowania lub komputery są na takie ataki odporne.

Tymczasem podziemny rynek coraz bardziej przypomina świat prawdziwego biznesu. Istnieje outsourcing, budżety badawcze, platformy usługowe Malware as a Service, umowy SLA, a nawet licencje EULA. Zatem kwestia ataku przeciw użytkownikom komputerów z jabłuszkiem jest tylko kwestią ROI. Bardzo szybka reakcja cyberprzestępców na aktualizację filtru w MacOS X oznacza, że czerpią oni z nielegalnego procederu już zauważalne zyski. Jeśli firma nie korzysta z oprogramowania ochronnego dla komputerów Mac, właśnie nadeszła chwila na taką inwestycję.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200