Mac OS X: 10 години вируси

Next story
Преди да започнем, нека изясним нещо. Проблемът с Mac OS вирусите няма нищо общо с проблема с Windows вирусите. И съвсем не е толкова голям. За сравнение: всеки ден по света се разкриват около 200,000 варианта зловредни кодове за Windows. При Mac активността съвсем не е толкова огромна, но е неоспорим факт, че вируси има и те могат да заразят MacBook или iMac. А ако точно вашият Mac изтегли късата клечка и се зарази, то повярвайте ни – в усещането и щетите от заразата на което и да е PC в вирус и вашият Mac няма да има разлика.  Същото важи и за най-големия проблем – премахването на вируса. Освен, че съществуват, вирусите за Mac не са и нещо ново.Всъщност, зловредните кодове за Apple устройства са по-стари от Macintosh и дори PC. Първият пример за такъв код е червеят Elk Cloner, създаден от Рич Скрента и предназначен за Apple II устройства още  през 1982 г. Въпреки това, заплахите за Apple II и версиите на операционната система Mac OS 9 и предшествениците ѝ не са важни за нас. Или поне не в този пост. Това, от което се интересуваме тук (и от което трябва да се интересуват собствениците на Mac) са вирусите за Mac OS X. Един интересен за нас факт е, че през 2014 г. бележим 10-тата годишнина от появата на Mac OS X вирусите. Затова събрахме няколко по-бележите примера от червеи и троянци, които са преследвали потребителите на платформата през последното десетилетие. Renepo (2004)Това е първият вирус, създаден специално за Mac OS X, който се появява през 2004 г. Renepo (познат още като “Opener” или „Отварящият“) е червей, който съдържа в ареснала си и функционалности на бекдор и шпионски код, за да позволи на създателите си крадат информация от заразените компютри, да изключват автоматичните ъпдейти на операционната система, да спират защитната стена и да разбиват пароли. Renepo изобщо не е бил сериозен проблем за масовата част Mac потребители, тъй като не е създаден за да се разпространява през интернет. Всъщност, инсталацията му (т.е. заразата) изисква директен достъп до компютърът, който ще бъде атакуван. Този факт го обрича на по-скромно разпространение. И все пак, той е първият, който разбива мита, че Mac OS X е някак магически защитена от атаки с вируси. Leap (2006)За много от интересуващите се от темата информационна сигурност за Mac OS X Leap е първият „истински“ червей за тази операционна система.Leap може и се разпространява като изпраща заразени съобщения в iChat, което го превръща в конкурент или по-скоро близнак на класическите имейл и чат червеи, от които страдат PC потребителите. Според защитниците на Mac OS X и по-скоро на епичната сигурност на платформата, Leap не е точно вирус, а троянец, тъй като заразата с него изисква интеракция от страна на потребителя. Причината – последният трябва да кликне на съобщението, което е получил в iChat, за да се зарази. Според нас обаче този аргумент е грешен.

Защо смятаме така? По същото време скорост набират PC червеи като MyDoom и Sobig, които използват същият механизъм на разпространение – потребителят трябва да кликне на прикачен към комуникацията файл, за да се зарази. Именно феновете на Mac OS X кръщават този вид зловредни кодове вируси при всяка отворила се възможност. Нашето мнение е, че вирусите представляват различни видове зловредни кодове, включващи в себе си интернет червеи, имейл червеи, паразитиращи вируси, и т.н., и т.н. Троянците са изцяло различен клас зловредни кодове, защото, за разлика от вирусите и червеите, те не могат да се репликират самостоятелно. Leap е последван от още един червей – Inqtana, който използва Bluetooth уязвимост за разпространението си.Затова следващият път, когато някой ви каже, че за Mac OS X няма вируси, може съвсем спокойно да му отговорите, че греши. И да дадете Leap като първия (но не и последен) пример.  Jahlav (2007)С Jahlav играта при Mac OS X вирусите загрубява. Зловредният код, познат още като RSPlug),обединява в себе си семейство програми, които използват добре познат от Windows трик, променяйки DNS записите на заразената машина. Известни са ни много версии на Jahlav, които обикновено са маскирани като видео кодек, който е „необходим“ за гледането на видеа със съдържание за възрастни. Разбира се, създателите му са знаели, че подобно прикритие ще свърши добра работа. Един пример за социално инженерство в действие – прилъгването на множество потребители да дадат разрешение на непознато приложение да инсталира нещо на компютрите им.  Истината е, че много Mac OS X потребители, както и много Windows потребители, свалят лесно гарда си, когато стане дума за порнографско съдържание. MacSweep (2008)Един от първите примери за т.нар. scareware за Mac OS X. Първо – какво е scareware? Зловреден код, който „вдига пушек“ – т.е. алармира за несъществуваща опасност или проблем с компютъра. Например (колкото и оксиморонно да е)  - за заразата с нов непознат вирус. И предлага „решние“ на този проблем, естествено – срещу заплащане за „пълната версия“ на софтуера, която се изисква за „решението“. Snow Leopard (2009)Snow Leopard, естествено, не е вирус. Това е версия 10.6 на Mac OS X, публикувана през август 2009 г. Apple, водена от шума, породен от заразата с Jahlav и масовостта на вируса, решава да вземе мерки за защитата на потребителите си. И вгражда антивирусна функционалност в операционната си система. Въпреки това, тази антивирусна функционалност е с ограничени възможности и може да засече потенциално опасни зловредни кодове само в определени ситуации. Всъщност, в началото на съществуването си, тя „покрива“ само две семейства зловредни кодове, които може да разпознае.   Boonana (2010)Този Java троянец показва, че междуплатформените вируси вече са факт, защото атакува Mac, Linux и Windows системи.Троянецът се разпространява чрез съобщения, разпращани в социални медии. Кодът се представя за видео и се разпространява с провокативния въпрос: „Ти ли си на това видео?“MacDefender (2011)С MacDefender заразите за Mac достигат нови висоти. Той достига до множество потребители, които съобщават за фалшиви предупреждения за вируси на машините си. Чрез различни техники за оптимизация за търсещи машини, киберпрестъпниците успяват да генерират трафик към различни заразени сайтове, в които се извършват „сканирания“ за вируси за Mac OS X. Естествено, техниките за оптимизация за търсещи машини не са „легални“. А термините, при чието търсене потребителите биват отвеждани към заразените сайтове, са свързани с различни изображения. Заплахата с MacDefender е свързана с доброволното предаване на номера на кредитната карта на собственика на „заразения“ Mac, който доверчиво купува „решение“ за „проблема“ си. Десетки хиляди потребители се свързват с центровете за поддържка на Apple, искайки помощ. Flashback (2011/2012)Бумът на Flashback от 2011/2012 г. е най-широко разпространената атака срещу Mac до момента с над 600,000 заразени машини. Зловредният код се разпространява под формата на инсталатор за Adobe Flash и използва пробойна в Java, благодарение на която краде информация като пароли и банкови данни от компрометираните компютри. Освен това, кодът пренасочва потребителите към заразено съдържание онлайн, модифицирайки резултатите от търсене в интернет. Lamadai, Kitm и Hackback (2013)През последните няколко години Mac Компютрите се използват и за шпионаж. Логично, това доведе до събуждането на интерес към определени агенции за разузнаване и таргетирането на специфични жертви от киберпрестъпници, подкрепяни от различни правителства. Троянецът Lamadai например атакува тибетски неправителствени организации, използвайки Java уязвимост, за да „стовари“ различни вируси на компютрите на заразените потребители. Kitm и Hackback от своя страна шпионират посетителите на Oslo Freedom Forum, давайки на създателите си възможност да изпълняват дистанционни команди на заразените компютри. LaoShu, Appetite и Coin Thief (2014)И така, какво се случва от началото на настоящата 2014 г. Дали тези 10 години са дали своето отражение?Според изследователите на ESET нови варианти на зловредни кодове за Mac OS X се появяват буквално всяка седмица, което излага незащитените Mac потребители на риск от атаки, загуба на данни или компрометиране на компютрите им. Правителственият шпионаж също продължава да се усеща като присъствие, особено с откриването на Appetite, Mac OS X троянец, който е използван при няколко таргетирани атаки срещу правителства, дипломатически представителства и дори частни компании.LaoShu от своя страна се разпространява непрекъснато чрез спам съобщения. А CoinThief получи най-сериозно внимание заради начина си на разпространение – чрез кракнати версии на Angry Birds, Pixelmator и още няколко от най-разпространените приложения за Mac OS X. Причината CoinThief да е толкова интересен обаче е, че анализаторите откриха, че той е създаден с цел да краде потребителски имена и пароли за платформи за обмен на Bitcoin – виртуалната валута. Т.е., създаден е, за да краде реални пари. Накратко – пазете сеТова е само кратката версия на историята на зловредните кодове за Mac OS X. Не смятаме, че имаме нужда от пълната ѝ версия (която може да видите тук). Защото, въпреки че няма толкова много заплахи за Mac, колкото за Windows, може да сте сигурни, че лошите работят в тази посока. А и историята показва, че епидемии за Mac OS X не липсват.