Firma zajmująca się cyberbezpieczeństwem, Kaspersky, opisuje szkodliwe oprogramowanie GravityRAT jako „niesławne”, ponieważ było wykorzystywane w atakach nawet na cele wojskowe i zapewnia doskonałą kontrolę. Do dziś wirus ten był dostępny tylko dla komputerów z systemem Windows i urządzeń z systemem Android. Jednak chociaż komputery Mac mają mniej podatne systemy operacyjne niż inne, nie oznacza to, że nie można ich zaatakować. W rzeczywistości, Ten niebezpieczny wirus dotarł już do macOS.
Trochę informacji o złośliwym oprogramowaniu GravityRAT
W 2018 roku badacze Cisco Talos opublikowali, że oprogramowanie szpiegujące GravityRAT zostało użyte do ataku na indyjskie siły zbrojne. Zespół reagowania na incydenty komputerowe w tym kraju (CERT-IN) po raz pierwszy wykrył tego trojana w 2017 roku. Uważa się, że jego twórcami są pakistańskie grupy hakerskie. Kampania jest aktywna od co najmniej 2015 roku i wcześniej była skierowana na komputery z systemem Windows. Jednak w 2018 roku przeszedł zmiany, a do listy docelowej dodano urządzenia z Androidem.
W 2019 roku cyberprzestępcy dodali moduł szpiegowski do Travel Mate, aplikacji na Androida dla podróżników do Indii, której kod źródłowy jest dostępny na Github. Dodali złośliwy kod i zmienili jego nazwę na Travel Mate Pro.
Funkcje oprogramowania są dość zwyczajne. Wyślij na serwer zarządzania dane urządzenia zawierające:
- Lista Kontakt
- Adres e-mail
- Zapisy z połączenia i wiadomości SMS
- weź jeden lista uruchomionych procesów
- Przechwycić naciśnięcia klawiszy
- Tomar zrzuty ekranu
- bieg polecenia powłoki arbitralny
- Nagrywaj audio (nie zaimplementowane w tej wersji)
- Skanuj porty
- Trojan szuka plików z rozszerzeniami .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx i .opus w pamięć urządzenia i podłączone nośniki, a także wysyła je do serwera zarządzania.
W 2019 roku „The Times of India” opublikował artykuł o metodach wykorzystywanych przez cyberprzestępców do dystrybucji GravityRAT w latach 2015-2018. wiem skontaktował się z ofiarami z fałszywego konta na Facebooku i poproszono ich o zainstalowanie złośliwej aplikacji przebranej za bezpieczny komunikator, aby kontynuować rozmowę. Około 100 przypadków infekcji zostało zidentyfikowanych w departamentach obrony, policji i innych organizacjach.
Pojawienie się oprogramowania szpiegującego na naszych komputerach Mac
Kaspersky od dawna podejrzewał, że narzędzie było używane na innych platformach, a teraz znalazł na to dowód. Analiza zastosowanego modułu adresu dowodzenia i kontroli (C&C) ujawniła kilka dodatkowych złośliwych modułów. Ogólnie rzecz biorąc, sZnaleźliśmy ponad 10 wersji GravityRAT, rozpowszechniane pod przykrywką legalnych aplikacji, takich jak bezpieczne aplikacje do udostępniania plików, które pomogłyby chronić urządzenia użytkowników przed zaszyfrowanymi trojanami lub odtwarzaczami multimedialnymi. Używane razem, moduły te umożliwiały grupie dostęp do systemu operacyjnego macOS.
Komputery Mac są stosunkowo dobrze chronione przed trojanami Ponieważ Apple sprawdza dozwolone aplikacje w Mac App Store i domyślnie nie zezwala na instalację oprogramowania z innych źródeł. Jeśli użytkownik zastąpi domyślną ochronę, macOS nadal sprawdza, czy aplikacja jest podpisana przez legalnego programistę. Niemniej jednak, BleepingComputer zgłasza, że grupa stojąca za GravityRAT używa skradzionych podpisów programistów, aby aplikacje wyglądały na legalne.
Nie można wyświetlić listy zainfekowanych aplikacji, ponieważ GravityRAT naśladuje różne legalne aplikacje. Najlepszą ochroną jest instalowanie aplikacji wyłącznie z Mac App Store lub bezpośrednio od zaufanych programistów. Podobnie nie podłączaj kabli ani urządzeń do komputera Mac, chyba że wiesz, skąd pochodzą.
Eksperci twierdzą, że obecnie twórcy tego wirusa szpiegowskiego nadal utrzymują te same metody transmisji, to znaczy najlepiej za pośrednictwem złośliwych linków umieszczanych w postach w mediach społecznościowych. Więc nadal bądźmy ostrożni. Nie pobieramy aplikacji z nieobsługiwanych miejsc lub przynajmniej z witryn niezweryfikowanych pod względem bezpieczeństwa. Nie podążajmy za dziwnymi linkami, których nie wiemy, skąd pochodzą. Jeśli dalej będziemy tak postępować, uratujemy meble.
