Un val alarmant de malware specializat în furtul de date (infostealer) vizează agresiv utilizatorii macOS, confirmând o schimbare importantă în strategia amenințărilor cibernetice. Aceste programe malițioase evoluează rapid pentru a exploata vulnerabilitățile specifice macOS, vizând date sensibile, cum ar fi datele de autentificare din browsere, cookie-urile și informațiile de completare automată.

Analiștii de securitate au identificat patru familii proeminente de infostealers care domină peisajul actual al amenințărilor: Atomic Stealer (unul dintre cele mai răspândite servicii de tip Malware-as-a-Service), Poseidon Stealer, Cthulu și Banshee. Colectiv, aceste familii procesează peste 300 de milioane de seturi de date de autentificare lunar, infectând aproximativ 1,5 milioane de sisteme. Obiectivul principal al malware-ului este de a colecta date detaliate din browsere și informații despre sistem pentru a crea "amprente digitale" ale sistemelor infectate.

Infecția se realizează prin metode care demonstrează o înțelegere avansată a arhitecturii macOS. Malware-ul utilizează AppleScript pentru a genera prompturi de autentificare înșelătoare, exploatând încrederea utilizatorilor în dialogurile legitime ale sistemului, cum ar fi solicitările de "actualizare a sistemului". După ce utilizatorul cade în capcană, malware-ul execută comenzi de recunoaștere a sistemului pentru a identifica configurațiile hardware și software, furând apoi datele colectate prin cereri HTTP POST către serverele de comandă și control.

Măsuri de protecție

1. Verificarea autenticității solicitărilor de parolă (AppleScript Spoofing): Infostealers utilizează AppleScript pentru a genera prompturi false de autentificare.

• Pasul 1: Nu introduceți niciodată parola de administrator în prompturi de sistem (update) care apar spontan sau neașteptat în timpul navigării web sau al utilizării aplicațiilor.
• Pasul 2: Un prompt legitim de macOS apare doar ca răspuns la o acțiune specifică inițiată de dumneavoastră.
• Pasul 3: Verificați manual necesitatea actualizării navigând la System Settings (Setări sistem) > General > Software Update (Actualizare software).

2. Implementarea CRUCIALĂ a autentificării multi-factor (MFA/2FA): Este absolut esențială pentru a bloca accesul atacatorilor chiar și după ce parolele au fost furate

• Pasul 1: Accesați imediat setările de securitate ale fiecărui cont online esențial (e-mail, servicii bancare, aplicații cloud).
• Pasul 2: Căutați opțiunea de "Autentificare în doi pași" sau "Multi-Factor Authentication" și activați-o.
• Pasul 3: Utilizați aplicații de autentificare (ex. Google Authenticator, Authy) sau dispozitive hardware (YubiKey) pentru a genera coduri de verificare.

3. Utilizarea unui manager de parole dedicat: Protejează credențialele de furtul direct din browsere

• Pasul 1: Nu stocați credențialele în browserele web (Safari, Chrome, Firefox).
• Pasul 2: Instalați și configurați un manager de parole securizat (ex. 1Password, Bitwarden).
• Pasul 3: Migrați parolele în managerul dedicat și ștergeți-le din browsere.

4. Monitorizarea proceselor AppleScript suspecte: Identificarea execuțiilor scripturilor malițioase

• Pasul 1: Deschideți Finder.
• Pasul 2: Navigați la Applications (Aplicații) > Utilities (Utilități).
• Pasul 3: Deschideți Activity Monitor (Monitorul de Activitate).
• Pasul 4: Căutați procese numite osascript care consumă resurse CPU sau memorie neobișnuit de mari.

5. Monitorizarea traficului de rețea pentru exfiltrare de date: Detectarea transferurilor de date furate către servere C&C

• Pasul 1: Instalați un firewall de aplicații (ex. Little Snitch) pentru a controla conexiunile de ieșire.
• Pasul 2: Configurați firewall-ul pentru a detecta și bloca solicitările HTTP POST neașteptate către domenii necunoscute sau IP-uri externe.

6. Restricționarea executării comenzilor de recunoaștere a sistemului: Prevenirea colectării de date despre sistem cu system_profiler

• Pasul 1: Folosiți soluții de securitate avansate (EDR) pentru a monitoriza execuția comenzilor de sistem.
• Pasul 2: Configurați reguli pentru a bloca utilizarea comenzilor precum system_profiler de către aplicațiile non-esențiale.

7. Asigurarea activității XProtect și Gatekeeper: Apărarea de bază a macOS

• Pasul 1: Accesați System Settings > Privacy & Security (Confidențialitate și securitate).
• Pasul 2: Asigurati-va că setările de securitate permit instalarea aplicațiilor doar din App Store și de la dezvoltatorii recunoscuți.
• Pasul 3: Asigurați-vă că actualizările automate sunt activate pentru XProtect.

8. Implementarea soluțiilor EDR (Endpoint Detection and Response) specifice macOS: Detectarea amenințărilor evazive

• Pasul 1: Nu vă bazați doar pe soluții antivirus tradiționale bazate pe semnături.
• Pasul 2: Implementați o soluție EDR specializată pe macOS care utilizează analize comportamentale.

9. Utilizarea conturilor de utilizator standard: Limitarea privilegiilor malware-ului

• Pasul 1: Navigați la System Settings > Users & Groups (Utilizatori și grupuri).
• Pasul 2: Creați un cont de utilizator standard pentru activitățile zilnice.
• Pasul 3: Rulați aplicațiile și navigați sub contul standard, limitând astfel capacitatea atacatorilor de a efectua modificări la nivel de sistem.

10. Actualizarea regulată a sistemului și a aplicațiilor: Patching-ul vulnerabilităților cunoscute

• Pasul 1: Accesați System Settings > General > Software Update.
• Pasul 2: Instalați imediat toate actualizările de securitate Apple (macOS).
• Pasul 3: Asigurați-vă că browserele web (Safari, Chrome, Firefox) sunt configurate pentru a se actualiza automat.

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa