Nowe rodzaje malware na Apple z ubiegłego roku
Według Patricka Wardle, badacza bezpieczeństwa specjalizującego się w produktach Apple, w 2021 r. pojawiło się osiem nowych rodzin złośliwego oprogramowania dla systemu MacOS. Obejmuje ElectroRAT, SilverSparrow, XcodeSpy, ElectrumStealer, WildPressure, XLoader, ZuRu i CDDS (aka MacMa).
Wardle opublikował wpis na blogu opisujący każdy z tych elementów złośliwego oprogramowania, w tym wektor infekcji, mechanizm trwałości, funkcje i cele. Udostępnił również próbki każdego rodzaju, aby umożliwić innym przeprowadzenie własnej analizy.
ElectroRAT, wieloplatformowy RAT zaprojektowany do kradzieży kryptowalut, pojawił się w styczniu. Złośliwe oprogramowanie jest dostarczane za pośrednictwem strojanizowanych aplikacji, a jego możliwości obejmują rejestrowanie klawiszy, robienie zrzutów ekranu, pobieranie/przesyłanie plików i wykonywanie poleceń.
SilverSparrow został wykryty w lutym i dotyczył około 30 000 urządzeń z systemem macOS, ale pozostaje tajemniczym złośliwym oprogramowaniem, ponieważ nadal nie jest jasne, w jaki sposób był dystrybuowany i jaki był jego ostateczny cel — jego drugi ładunek nie został zidentyfikowany — ale przypuszcza się, że dostarczał adware.
XcodeSpy pojawił się w marcu i wydawał się być skierowany do twórców oprogramowania. Został dostarczony za pośrednictwem złośliwych projektów Xcode i zainstalował niestandardowy wariant backdoora o nazwie EggShell, który umożliwia operatorom szpiegowanie użytkowników.
ElectrumStealer, również odkryty w marcu, wykorzystał portfel Electrum z back doorem, aby ukraść kryptowaluty z zainfekowanych systemów. Przypadkowo uwierzytelniony przez Apple.
Istnienie WildPressure dla macOS zostało ujawnione w lipcu, po tym, jak zaobserwowano, że atakuje organizacje przemysłowe na Bliskim Wschodzie. Uważa się, że kampania WildPressure rozpoczęła się w maju 2019 r., ale początkowo dotyczyła tylko złośliwego oprogramowania dla systemu Windows.
XLoader to wieloplatformowe złośliwe oprogramowanie zaprojektowane do kradzieży haseł. Został opisany jako ewolucja macOS złośliwego oprogramowania Formbook.
ZuRu pojawił się w Chinach we wrześniu, kiedy zaobserwowano rozprzestrzenianie się za pośrednictwem sponsorowanych wyników wyszukiwania Baidu. Złośliwe oprogramowanie dostarczało sponsorowane reklamy i aplikacje trojanizowane.
Ostatnim szkodliwym oprogramowaniem zidentyfikowanym w 2021 r. jest CDDS (MacMa), który został wykryty przez Google. Wyrafinowany cyberprzestępca wykorzystywał lukę „dnia zerowego” w systemie MacOS, aby dostarczać CDDS użytkownikom w Hongkongu za pośrednictwem specjalnie spreparowanych witryn.
„Wraz z ciągłym wzrostem i popularnością macOS (zwłaszcza w przedsiębiorstwach!), 2022 z pewnością przyniesie mnóstwo nowego złośliwego oprogramowania dla macOS” – podsumował Wardle.
Szwajcarska armia zakazuje WhatsAppa
Jak potwierdził w czwartek rzecznik, szwajcarska armia zakazała korzystania z WhatsApp podczas służby na rzecz szwajcarskiej usługi przesyłania wiadomości, która jest podobno bezpieczniejsza.
Zakaz dotyczy również korzystania z innych aplikacji do przesyłania wiadomości, takich jak Signal i Telegram, na prywatnych telefonach żołnierzy.
Pod koniec grudnia dowódcy i szefowie sztabów otrzymali e-mail z kwatery głównej, w którym zalecano, aby ich żołnierze przeszli na korzystanie ze szwajcarskiej Threema.
Zalecenie dotyczy „wszystkich”, w tym poborowych odbywających służbę wojskową i powracających na kursy doszkalające, powiedział AFP rzecznik wojskowy Daniel Reist.
Kwestia korzystania z aplikacji do przesyłania wiadomości na służbie pojawiła się podczas operacji wspierających szpitale i program szczepień w Szwajcarii w celu opanowania pandemii Covid-19, powiedział Reist.
Armia szwajcarska pokryje cztery franki szwajcarskie (4,35 USD, 3,85 euro) za pobranie Threema, z którego korzystają już inne organy publiczne w Szwajcarii.
Inne usługi przesyłania wiadomości, takie jak WhatsApp, podlegają amerykańskiej ustawie o chmurze, która umożliwia władzom Stanów Zjednoczonych dostęp do danych przechowywanych przez amerykańskich operatorów, nawet jeśli są one przechowywane na serwerach poza granicami kraju.
Z kroniki sądowej
Mieszkaniec Kalifornii przyznał się w tym tygodniu przed sędzią okręgowym USA do swojej roli w programie oszustw internetowych o wartości 50 milionów dolarów.
Według aktu oskarżenia, w latach 2012-2020, 56-letni Allen Giltman z Irvine w Kalifornii tworzył oszukańcze strony internetowe, aby prosić inwestorów o fundusze.
We współpracy z innymi pozwany stworzył strony internetowe bardzo przypominające strony legalnych instytucji finansowych, a także strony pozornie legalnych instytucji, które w rzeczywistości nie istniały.
Oszukańcze strony internetowe, które można było wykryć za pomocą wyszukiwarek internetowych, reklamowały możliwości inwestycyjne, w tym zakup certyfikatów depozytowych. Reklamy obiecywały wysokie stopy zwrotu, aby zwabić potencjalne ofiary.
Aby wyglądać legalnie, strony internetowe wyświetlały rzeczywiste nazwy i logo instytucji finansowych i twierdziły, że instytucje te są regulowane przez znane organy, które również ubezpieczały depozyty składane przez inwestorów.
Dokumenty sądowe również twierdzą, że Giltman, gdy skontaktował się z ofiarami telefonicznie lub mailowo, podszywał się pod prawdziwych brokerów-dealerów Urzędu Regulacji Rynku Finansowego (FINRA), a następnie przekazywał ofiarom instrukcje zakupu certyfikatów depozytowych.
Pozwany rzekomo przekazywał środki przekazane przez ofiary na różne konta bankowe, w tym konta w Hongkongu, Gruzji, Rosji i Turcji.
W ramach programu powstało co najmniej 150 oszukańczych stron internetowych, a co najmniej 70 osób padło jego ofiarą. Uważa się, że ofiary wysłały sprawcom około 50 milionów dolarów, ale żadna z nich nigdy nie otrzymała zaświadczenia o wpłacie.
Jeśli zostanie uznany za winnego spisku związanego z oszustwami, Giltman może zostać skazany na karę do 20 lat więzienia i grzywnę w wysokości 250 000 USD. Za zarzut oszustwa związanego z papierami wartościowymi mógł otrzymać do pięciu lat więzienia.