От безопасной гавани к мишени: MacOS теряет иммунитет к кибератакам

За последние годы ландшафт угроз для операционной системы MacOS существенно изменился, обратили внимание в Trellix. По данным StatCounter, использование MacOS выросло на 2% при сравнении периодов с января 2021 по январь 2023 года и с января 2023 по август 2024 года. Растущая популярность платформы среди корпоративных пользователей привлекает внимание киберпреступников - от групп, специализирующихся на финансовых преступлениях, до представителей развитых устойчивых угроз (APT).

Привлекательность MacOS для злоумышленников обусловлена не только увеличением количества устройств, но и статусом пользователей. В отличие от торговых терминалов, где MacOS встречается редко, операционную систему чаще используют разработчики, специалисты по информационной безопасности, вице-президенты и руководители высшего звена. Доступ к устройствам таких пользователей открывает возможности для проведения мошеннических транзакций, получения конфиденциальной информации или отключения систем внутренней цифровой безопасности.

Распространению угроз способствует растущее использование кроссплатформенных языков программирования, таких как Golang, при создании вредоносного ПО. В отличие от традиционных языков вроде C++, где требуется существенная доработка кода для работы на разных платформах, современные многоплатформенные языки позволяют с минимальными усилиями включать MacOS в список целевых систем для атак.

Особую активность в атаках на MacOS проявляет северокорейская хакерская группа Lazarus. С 2018 года группировка распространяет вредоносное ПО через поддельные приложения для торговли криптовалютой, поскольку MacOS более распространена среди пользователей и энтузиастов криптовалют. Примером служит вредоносное ПО GMERA, встроенное в фальшивые платформы вроде «Union Crypto Trader». Жертв привлекают с помощью фишинговых писем и сложных методов социальной инженерии. После установки вредоносные программы получают контроль над системами MacOS через LaunchDaemons или LaunchAgents.

К 2020 году Lazarus расширила арсенал за счет межплатформенного вредоносного ПО. Кампания ElectroRAT, проводившаяся в 2020-2021 годах, была нацелена на пользователей криптовалют в системах MacOS, Windows и Linux. Группировка создавала поддельные веб-сайты и фальшивые профили в интернете для продвижения вредоносных приложений на криптовалютных форумах. Вредоносное ПО обеспечивало бэкдор-доступ к системам жертв.

Lazarus также запустила атаки через компромиссы цепочек поставок с помощью XcodeSpy, нацеленного на разработчиков под MacOS. Злоумышленники внедряли вредоносные скрипты в репозитории с открытым исходным кодом. При компиляции зараженных проектов Xcode происходило заражение систем разработчиков. Такой подход не только давал доступ к средам разработки, но и создавал риски для программного обеспечения в целом.

В 2022-2023 годах Lazarus усилила фокус на корпоративные цели. Группировка проводила фишинговые кампании под видом рекрутинга, распространяя подписанное вредоносное ПО, замаскированное под файлы для соискателей. После открытия файлы устанавливали программы для кражи корпоративных данных.

Группировка активно использует кроссплатформенные языки программирования Python, Golang и Rust. В 2023 году было обнаружено вредоносное ПО RustBucket - написанный на Rust многоступенчатый бэкдор для MacOS. Программа использует AppleScript для загрузки полезной нагрузки и применяет LaunchAgents для закрепления в системе.

Специалисты подчеркивают: распространенное мнение о повышенной безопасности MacOS основано лишь на меньшей распространенности системы. По мере роста популярности платформы в корпоративном секторе увеличивается и количество целенаправленных атак на пользователей MacOS. Хотя в материале упомянуты конкретные группировки из определенных регионов, список угроз значительно шире.