На Mac портировали бэкдор под названием Snake, сообщили исследователи Malwarebytes. Программа маскируется под установщика Adobe Flash Player и крадет пользовательские данные.
Отличить настоящий установщик от подделки сложно. В отличие от других вредоносных программ, которые выдают себя за загрузчик Adobe, эта действительно устанавливает плеер, а процесс установки не вызывает подозрений. Единственное отличие – сертификат, под которым раздается приложение.
Вредоносное ПО находится в файле Install Adobe Flash Player.app.zip. Когда пользователь его открывает, на экране появляется окно с просьбой ввести пароль учетной записи. Это не вызывает подозрений – так устанавливают большинство программ на Mac. Вредоносный код, который выполняется в ходе инсталляции, позволяет злоумышленникам получить доступ к паролям и незашифрованным данным на диске. Процессы, которые программа запускает на компьютере, маскируются под процессы Adobe, поэтому найти их непросто. Вредоносные файлы хранятся в папке /Library/Scripts.
Apple уже отозвала сертификат, под которым раздавался Snake. Тем не менее, нет гарантий, что завтра не создадут новый бэкдор на основе другого сертификата. Чтобы защитить Mac и личные данные, Apple рекомендует устанавливать приложения надежных разработчиков или из App Store.
Snake, также известный как Turla и Uroburos, появился на Windows в 2008 году. В 2014 году вредоносное ПО портировали на Linux, а в 2017 стало известно о случаях заражения Mac.