Sikkerhed Global 24h
Mellem 2ndog 6thmaj, a Håndbremse software download spejllink (download.handbrake.fr) var kompromitteret, og udviklerne sendte en advarsel meddelelse om 6thmaj til at guide brugerne med at afgøre, om deres MacOS-systemer blev inficeret af den berygtede Proton Remote Access Trojan (RAT). Det blev rapporteret, at ca. 50% af alle downloads udført inden for den tidsramme resulterede i inficerede enhedssystemer. Nu forskere ved Kaspersky har formået at snuble over en forgænger af Proton RAT-malware, Calisto, som de mener blev udviklet et år før Proton, da den ikke havde evnen til at omgå System Integrity Protection (SIP), som kræver administratorlegitimationsoplysninger til redigering af grundlæggende filer, en funktion, der blev forbedret på det tidspunkt. Kasperskys forskere har konkluderet, at Calisto blev opgivet til fordel for Proton, da Calistos kode syntes upoleret. Calisto blev opdaget den VirusTotal , og det ser ud til, at virussen forblev der i to til tre år uopdaget indtil nu.
Proton RAT er en farlig og stærk malware, der først blev frigivet i slutningen af 2016, der bruger ægte Apple-kodesigneringscertifikater til at manipulere systemet og få rodadgang i MacOS-enheder. Malwaren er i stand til at omgå alle på plads sikkerhedsforanstaltninger, herunder iClouds tofaktorautentificering og systemintegritetsbeskyttelse, så den kan overvåge computeraktivitet eksternt ved at logge tastetryk, udføre falske pop op-vinduer for at indsamle information, tage skærmbilleder, fjernbetjening aktiviteten på skærmen, udpakning af datafiler af interesse og overvågning af brugeren gennem hans eller hendes webcam. Der ser ud til at være en enkel måde at fjerne malware, når det først er opdaget, men hvis det viser sig at have været aktivt på systemet (hvis processen 'Activity_agent' vises i Activity Monitor-applikationen på enheden), kan brugerne være sikre på, at den har gemt alle deres adgangskoder og fået adgang til alle data, der er gemt i browsere eller Macs egen nøglering. Derfor bliver brugerne bedt om at ændre dem på en ren enhed med det samme for at undgå at kompromittere deres økonomiske og online data.
Hvad der er mest interessant ved Proton RAT er, ifølge New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) , malwareskaberen skabte den som en overvågningssoftware til virksomheder og endda forældre til overvågning i hjemmet af deres børns digitale aktivitet. Denne software havde et prisskilt mellem USD $ 1.200 og USD $ 820.000 baseret på licensering og funktioner, der er givet til brugeren. Disse 'overvågningsfunktioner' var imidlertid ulovlige, og da hackere fik fat i koden, blev programmet sendt ud gennem mange downloads under YouTube-videoer, kompromitterede webportaler, HandBrake-softwaren (i tilfælde af hvor HandBrake-1.0. 7.dmg blev erstattet med en OSX.PROTON-fil) og gennem det mørke web. Selvom brugere ikke har noget at frygte med Calisto, så længe deres SIP er aktiveret og fungerer, finder forskerne kodens evne til at manipulere systemet med autentiske Apple-legitimationsoplysninger alarmerende og frygter, hvad fremtidig malware muligvis kan gøre ved hjælp af den samme mekanisme. På dette tidspunkt er Proton RAT aftagelig, når den først er registreret. Arbejdet med den samme grundlæggende certifikatmanipulation kunne malware dog snart låse sig til systemer som en permanent agent.
