Säkerhet Global 24h
Mellan 2ndoch 6thmaj, a Handbroms programvara nedladdning spegel länk (download.handbrake.fr) komprometterades och utvecklarna postat en varning meddelande på 6thmaj för att vägleda användare i att avgöra om deras MacOS-system infekterades av den ökända Proton Remote Access Trojan (RAT). Det rapporterades att cirka 50% av alla nedladdningar som utfördes under den tidsperioden resulterade i infekterade enhetssystem. Nu forskare vid Kaspersky har lyckats snubbla över en föregångare av Proton RAT-skadlig programvara, Calisto, som de tror utvecklades ett år före Proton eftersom den inte hade möjlighet att kringgå System Integrity Protection (SIP) som kräver administratörsuppgifter för redigering av grundläggande filer, en funktion som förbättrades vid den tiden. Kasperskys forskare har dragit slutsatsen att Calisto övergavs till förmån för Proton eftersom Calistos kod verkade opolerad. Calisto upptäcktes den VirusTotal , och det verkar som att viruset förblev där i två till tre år oupptäckt fram till nu.
Proton RAT är en farlig och kraftfull skadlig kod som först släpptes i slutet av 2016 som använder äkta Apple-kodsigneringscertifikat för att manipulera systemet och få root-åtkomst i MacOS-enheter. Skadlig kod kan kringgå alla säkerhetsåtgärder på plats, inklusive iClouds tvåfaktorautentisering och systemintegritetsskyddet, så att det kan fjärrövervaka datoraktivitet genom att logga tangenttryckningar, utföra falska popup-fönster för att samla in information, ta skärmdumpar, fjärrvisning av aktiviteten på skärmen, extrahera datafiler av intresse och titta på användaren via hans eller hennes webbkamera. Det verkar finnas ett enkelt sätt att ta bort skadlig kod en gång upptäckt men om det visar sig ha varit aktivt i systemet (om processen 'Activity_agent' visas i Activity Monitor-applikationen på enheten) kan användarna vara säkra på att den har lagrade alla sina lösenord och fick åtkomst till alla data som sparats i webbläsare eller Macs egen nyckelring. Därför uppmanas användare att ändra dem på en ren enhet omedelbart för att undvika att kompromissa med deras ekonomiska och onlinedata.
Vad som är mest intressant med Proton RAT är att det enligt New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) , skaparen av skadlig programvara annonserade det som en övervakningsprogramvara för företag och till och med föräldrar för hemövervakning av deras barns digitala aktivitet. Denna programvara hade en prislapp mellan USD 1 200 och 820 000 USD baserat på licensiering och funktioner som beviljats användaren. Dessa 'övervakningsfunktioner' var dock olagliga och när hackare fick tag på koden skickades programmet ut genom många nedladdningar under YouTube-videor, komprometterade webbportaler, HandBrake-programvaran (i fallet HandBrake-1.0. 7.dmg ersattes med en OSX.PROTON-fil) och via det mörka nätet. Även om användare inte har något att frukta med Calisto så länge deras SIP är aktiverat och fungerar, tycker forskarna att kodens förmåga att manipulera systemet med äkta Apple-referenser alarmerande och fruktar vad framtida skadlig programvara kan göra med samma mekanism. I detta skede kan Proton RAT tas bort när det har upptäckts. Arbetet med samma grundläggande certifikatmanipulation kan dock skadlig programvara snart hänga sig i system som en permanent agent.
