Mac World

Proton – самый опасный троян для Mac

21
137

Давно прошли те времена, когда считалось, что Mac не страшны трояны, так как их попросту никто не пишет. Эксперты Sixgill обнаружили на русскоязычном форуме в даркнете и выставили на продажу самый опасный «вредонос» для macOS, получивший название Proton. Авторы рассчитывают продать его за 40 биткоинов, что по текущему курсу равняется примерно $50 000. Для тех, у кого нет таких денег, есть предложение подешевле: 2 биткоина ($2500) за одну установку.

Согласно данным специалистов, Proton написан на Objective C и не обнаруживается существующими антивирусными решениями. Вредонос рекламируется как «профессиональное FUD-решение для слежки и контроля», способное получить root-доступ к компьютеру и фактически перехватить над ним контроль. Распространять зловред предлагается под видом различных легитимных приложений. Покупатель сможет легко изменить иконку и название вируса.

Proton включает себя функции кейлоггера, может делать снимки рабочего стола, дистанционно активировать веб-камеру. Также он способен похищать пользовательские файлы, загружая их на удаленный сервер, или скачивать произвольные файлы на зараженную машину. Помимо этого, Proton может показывать жертве кастомное окно, запрашивая информацию о банковской карте, водительских правах или другие конфиденциальные данные. Кроме того, по данным Xaker, вредонос способен получить доступ к iCloud маковода, даже если активна двухфакторная аутентификация.

Но хуже всего тот факт, что создатели Proton смогли обойти механизмы контроля Apple, ведь компания предъявляет строгие требования к приложениям сторонних разработчиков. В итоге код трояна обладает подлинной подписью, которая обманывает защитные механизмы. Исследователи предполагают, что вирусописатели либо используют поддельный Apple ID для Apple Developer Program, либо используют похищенные у других разработчиков учетные данные. Как бы то ни было, в результате у злоумышленников есть все необходимые сертификаты.

Proton рекламируется не только в даркнете. Помимо этого у вредоноса есть официальный сайт и даже демонстрационные ролики на YouTube.

По мнению экспертов, для получения root-привилегий на компьютере Proton эксплуатирует уязвимость «нулевого дня», которая, очевидно, неизвестна широкой публике и является собственностью авторов малвари.

21 комментарий

Написать комментарий