Bezpečnostní experti upozorňují na nový nebezpečný malware pro macOS označovaný jako SHub Reaper. Útok je mimořádně propracovaný. V jeho průběhu zneužívá důvěryhodnost Microsoftu, Applu i Googlu, dokáže ukrást hesla, data z prohlížečů, obsah Klíčenky, dokumenty nebo kryptoměny a následně si v napadeném Macu zajistit trvalý přístup.
Doby, kdy mohli majitelé Maců malware prakticky ignorovat, jsou dávno pryč. S rostoucí popularitou počítačů Apple se stále častěji stávají terčem útočníků a jejich metody jsou navíc výrazně propracovanější než dříve. Dobrým příkladem je nový malware označovaný jako SHub Reaper, jehož fungování podrobně analyzovali bezpečnostní experti.
Nejnebezpečnější na celém útoku je způsob, jakým se snaží získat důvěru uživatele. Malware postupně zneužívá značky tří největších technologických společností světa. Útok začíná na podvrženém webu připomínajícím Microsoft, pokračuje falešnou bezpečnostní aktualizací Applu a po úspěšném napadení Macu se škodlivý software ukryje v systému pod názvem připomínajícím aktualizační službu Googlu.
Stačí stáhnout falešnou aplikaci a kliknout na Run
Útok může začít návštěvou podvržené internetové stránky, která se na první pohled snaží působit jako legitimní web Microsoftu. Uživatel je následně přiměn ke stažení falešného instalátoru některé z běžných aplikací. Právě zde útočníci spoléhají na chování uživatelů Macu. Některé programy se běžně instalují mimo Mac App Store, a proto samotné stažení instalačního souboru z internetu nemusí automaticky vyvolat podezření.
Po otevření souboru se spustí Script Editor s připraveným AppleScriptem. Skutečný škodlivý příkaz je přitom umístěn mimo viditelnou část okna, takže uživatel nemusí na první pohled vůbec poznat, co se ve skutečnosti chystá spustit.
Mohlo by vás zajímat
Jakmile klikne na tlačítko Run, objeví se falešné upozornění informující o stahování bezpečnostní aktualizace XProtectRemediator. Jde o mimořádně chytrý trik, protože XProtect je skutečná bezpečnostní technologie používaná Applem v macOS. Uživatel následně zadá své systémové heslo v domnění, že pouze povoluje instalaci legitimní bezpečnostní aktualizace. Ve skutečnosti jej však předá útočníkům.
V systému se následně schová jako software Googlu
Po úspěšném napadení počítače přichází na řadu třetí známá technologická společnost. Malware se snaží v systému ukrýt pod názvy připomínajícími skutečnou aktualizační službu Googlu.
Škodlivý software si může vytvořit vlastní složku GoogleUpdate.app a LaunchAgenta s názvem com.google.keystone.agent.plist. Podobné označení používají legitimní služby související s aktualizacemi aplikací Googlu. Pokud by se tedy běžný uživatel podíval do systémových složek svého Macu, nemusí si vůbec uvědomit, že se dívá na škodlivý software.
Malware jde po heslech, dokumentech i kryptoměnách
Rozsah informací, které dokáže SHub Reaper z napadeného Macu získat, je mimořádně široký. Malware se zaměřuje na systémové heslo uživatele, obsah Klíčenky macOS včetně uložených hesel a certifikátů a data z populárních internetových prohlížečů.
Mezi cíle patří například Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc nebo Orion. Útočníci se zajímají také o rozšíření prohlížečů a některá data uložená na iCloudu. Zvláštní pozornost věnuje malware kryptoměnám. Pokouší se získat informace z aplikací Exodus, Atomic Wallet, Ledger Live, Electrum nebo Trezor Suite, včetně citlivých údajů potřebných pro přístup ke kryptoměnovým peněženkám.
Ohrožené mohou být rovněž dokumenty uložené na ploše nebo ve složce Dokumenty. Malware vyhledává například soubory Wordu a Excelu, JSON soubory, přístupové klíče a další potenciálně citlivá data.
Krádeží dat útok nekončí
Ještě nebezpečnější je skutečnost, že SHub Reaper nemusí po ukradení dat z počítače zmizet. Malware si může v systému vytvořit mechanismus, který se pravidelně připojuje ke vzdálenému serveru útočníků a kontroluje nové příkazy. Pokud nějaký příkaz obdrží, dokáže jej spustit přímo na napadeném Macu.
Útočníci tak mohou získat dlouhodobý vzdálený přístup k počítači, stahovat další škodlivý software, pokračovat v krádeži dat nebo provádět další operace. Jednorázová chyba uživatele tak nemusí znamenat pouze okamžitou ztrátu hesla. Napadený Mac může zůstat pod kontrolou útočníků i v budoucnosti.
Proč nemusí běžná ochrana Macu stačit
Apple integruje přímo do macOS několik bezpečnostních technologií včetně systému XProtect, který dokáže rozpoznávat a odstraňovat známý malware. SHub Reaper se však snaží využívat legitimní systémové procesy, jako jsou Script Editor, osascript nebo shell. Část škodlivého kódu navíc může být spuštěna bez klasického uložení škodlivého souboru na disk.
Právě to může komplikovat práci bezpečnostním systémům založeným především na kontrole souborů. Apple v novějších verzích macOS postupně posiluje ochranu proti podobným útokům a omezuje například vkládání podezřelých příkazů do Terminalu. Útočníci však své metody neustále mění a v tomto případě se přesunuli právě k využívání Script Editoru.
Jak poznat napadený Mac
Zpozornět by měli především uživatelé, kteří v poslední době stáhli aplikaci z podezřelé internetové stránky, spouštěli neznámý skript v Script Editoru nebo viděli neobvyklé upozornění vyžadující systémové heslo kvůli údajné aktualizaci XProtectu.
Mezi možné stopy infekce patří soubor ~/Library/LaunchAgents/com.google.keystone.agent.plist nebo podezřelá aplikace GoogleUpdate.app ve složce ~/Library/Application Support/Google/.
Objevit se mohou také dočasné soubory s názvy .c.sh, shub_split.sh nebo shub_log.zip. Samotná přítomnost souboru nebo složky s názvem připomínajícím software Googlu však nemusí automaticky znamenat napadení. Před odstraněním systémových souborů je proto důležité ověřit, zda skutečně souvisejí s malwarem.
Co dělat při podezření na napadení
Pokud máte důvodné podezření, že byl váš Mac napaden, neměli byste jej dále používat k přihlašování do citlivých služeb. Z jiného a důvěryhodného zařízení změňte heslo k e-mailu, Apple účtu, internetovému bankovnictví a dalším důležitým službám. Vhodné je také ukončit aktivní relace na ostatních zařízeních a změnit přístupové údaje, které mohly být uložené v Klíčence nebo internetových prohlížečích.
Pokud na Macu používáte kryptoměnové peněženky a existuje možnost, že došlo ke kompromitaci jejich přístupových údajů nebo seed frází, je nutné situaci řešit okamžitě a prostředky zabezpečit prostřednictvím čistého zařízení.
Následně je vhodné provést důkladnou bezpečnostní kontrolu Macu a odstranit všechny stopy škodlivého softwaru. V případě závažného napadení může být nejbezpečnějším řešením kompletní přeinstalace systému.
Mohlo by vás zajímat
Největší slabinou Macu zůstává samotný uživatel
SHub Reaper ukazuje, jak se mění způsob útoků na počítače Apple. Útočníci se nesnaží pouze najít technickou chybu v macOS. Mnohem častěji přesvědčí samotného uživatele, aby potřebná oprávnění udělil dobrovolně.
V tomto případě stačí kombinace falešné internetové stránky, důvěryhodně vypadající aktualizace, spuštění skriptu a zadání systémového hesla. Nejdůležitější ochranou proto zůstává jednoduché pravidlo. Pokud vás neznámá internetová stránka nebo stažená aplikace požádá o spuštění příkazu v Terminalu či Script Editoru a následné zadání hesla k Macu, měli byste okamžitě zpozornět. Legitimní aktualizace macOS a bezpečnostních technologií Applu podobný postup nevyžadují.