Severokorejští hackeři maskovali malware do zdánlivě neškodných aplikací pro macOS pomocí sofistikovaného kódu, aby obešli bezpečnostní kontroly a zaútočili na nic netušící uživatele.
Mohlo by vás zajímat
Při nedávném objevu odhalili odborníci z Jamf Threat Labs malware vložený do aplikací pro macOS, které na první pohled vypadají neškodně. Pomocí oblíbeného nástroje Flutter pro tvorbu aplikací vytvořili kyberzločinci aplikace, které proklouzly typickými bezpečnostními opatřeními. Flutter, vyvinutý společností Google, se stal oblíbeným nástrojem pro vytváření aplikací, které bez problémů fungují v systémech macOS, iOS, a Android. Jeho kódová základna umožňuje vývojářům vytvořit aplikaci jednou a mít konzistentní vzhled na všech platformách. Jedinečné nastavení Flutteru však může také způsobit potíže – zejména při odhalování skrytého kódu. V typické Flutter aplikaci je hlavní kód (napsaný v jazyce zvaném Dart) sdružen do souboru „dylib“, dynamické knihovny, kterou později načte engine Flutteru. Tento typ struktury kódu je sice skvělý z hlediska funkčnosti, ale přirozeně zakrývá kód a ztěžuje jeho kontrolu. Této složitosti využili hackeři a ukryli škodlivý kód způsobem, který je obtížné odhalit.
Laboratoře Jamf Threat Labs našly tři verze malwaru, z nichž každá byla přizpůsobena jinému programovacímu prostředí – Flutter, Go a Python. Všechny tři používaly podobné metody k tomu, aby se spojily s externími servery, pravděpodobně pod severokorejskou kontrolou, a provedly další škodlivé příkazy. Malware založený na prostředí Flutter se zaměřoval na klamavou aplikaci, která se tvářila jako jednoduchá hra a vyzývala uživatele k hraní bez podezření. V jejím kódu se však skrývala funkce, která se připojovala k doméně dříve spojované se severokorejskými kybernetickými operacemi. Funkce umožňovala aplikaci stahovat další škodlivé skripty schopné vzdáleně ovládat infikovaný počítač Mac. Varianta Python se mezitím vydávala za jednoduchou poznámkovou aplikaci, připojila se k podezřelé doméně a stáhla a spustila škodlivé skripty AppleScripts umožňující vzdáleně ovládat počítač oběti. Jednou z nejvíce znepokojujících částí malwaru je jeho schopnost spouštět vzdálené příkazy AppleScript.
AppleScript je nástroj v systému macOS, který automatizuje úlohy a umožňuje komunikaci aplikací. Malware používá AppleScript ke vzdálenému ovládání zařízení a provádění akcí, jako je zachytávání dat nebo instalace malwaru. Pozoruhodné je, že škodlivé skripty byly napsány pozpátku, aby se vyhnuly detekci. Zatím nic nenasvědčuje tomu, že by tyto aplikace byly použity při skutečném útoku, ale zdá se, že malware je ve fázi testování. Uživatelé by měli pokud možno stahovat aplikace z obchodu Mac App Store společnosti Apple, protože aplikace v tomto online obchodu procházejí bezpečnostními kontrolami. Ačkoli proces prověřování v App Store není spolehlivý, snižuje riziko stažení škodlivého softwaru. Dalším klíčovým krokem k zajištění bezpečnosti je pravidelná aktualizace systému macOS a nainstalovaných aplikací, protože společnost Apple často vydává bezpečnostní záplaty. Aktualizace zařízení a aplikací pomáhá chránit se před nově objevenými zranitelnostmi.
Jediný problém je samotný uživatel, klikající na všemožné odkazy a stahující bezhlavě všechny aplikace. Tady by nepomohla ani celoživotní podpora.