חוקרי אבטחה גילו לאחרונה זיהומים של תוכנות זדוניות של macOS בשם "Calisto", כזו שפותחה לכאורה ב-2016 וייתכן שהייתה מבשר לטרויאני "פרוטון" של macOS שהחל להסתובב ב-2017.
Calisto הוא טרויאני שלובש צורה של DMG לא חתום עבור Mac Internet Security X9 של Intego, חבילת אנטי וירוס ואבטחה.הרשימה המאובטחת של קספרסקי הערותזה דומה למהדורה הרשמית, כך שסביר להניח שהוא נועד לנסות ולהטעות משתמשים שרוצים להתקין את התוכנה ולרכוש אותה באמצעים אחרים מלבד ישירות מאינטגו עצמה.
לאחר בקשת המשתמשים לקבל הסכם, התוכנה הזדונית מבקשת את האישורים של המשתמש בתיבת אימות משכנעת, ולאחר מכן לאחר הזנת הפרטים, היא מציגה הודעת שגיאה בהתקנה המייעצת להוריד מחדש את התוכנה הרשמית. על ידי כך, התוכנה הזדונית רוכשת את פרטי הכניסה של המשתמש, שבהם היא יכולה להשתמש כדי לבצע פעולות אחרות.
יצירת ספרייה נסתרת, לתוכנה הזדונית יש את היכולת לגשת למחזיק המפתחות ולרכוש סיסמאות ואסימונים המאוחסנים על ידי המשתמש, כמו גם נתוני היסטוריה, סימניות וקובצי Cookie מ-Google Chrome, ולאסוף מידע על רשתות מחוברות. יש לו גם את היכולת לאתחל בעת ההפעלה, לאפשר גישה מרחוק ל-Mac ולהעביר נתונים שנאספו לשרת מרוחק, בין השאר.
ניתוח הקוד מגלה גם פונקציות שהיו בפיתוח, אך בסופו של דבר לא הסתיימו. זה כלל את היכולת לטעון ולפרוק הרחבות ליבה לטיפול בהתקני USB, רכישת נתונים מספריות משתמשים והשמדה עצמית של עצמה ושל מערכת ההפעלה.
רבות מהתכונות הפעילות לא יפעלו במערכות מודרניות רבות בשלהגנת שלמות המערכת(SIP), שאפל הציגה ב-2015 עם O SX El Capitan כדי להגן על קבצי מערכת קריטיים מפני שינוי. החוקרים מאמינים שהמפתחים של Calisto ייצרו את התוכנה הזדונית ב-2016 מבלי לקחת בחשבון את ההגבלות של SIP, וסירוס את רוב הפונקציונליות שלו. כדי שזה יהיה הכי מזיק, זה צריך להיות מותקן על מק עם SIP מושבת, אם כי זה נדיר יחסית.
בעוד שמשתמשי Mac רבים יהיו בטוחים, חלקםMacBook Proמשתמשים עלולים להיות בסכנה מבלי משים בגלל השבתת SIP. בנובמבר 2016, צוין שכמה מדגמי Touch Bar של ה-MacBook Pro נשלחו עם SIP מושבת, בעיה שאפל תיקנה מאוחר יותר עם עדכון תוכנה.
יצוין כי התוכנה הזדונית הוגשה לראשונה לבדיקה בשנת 2016, אך הייתה ברובה מחוץ לרדאר עבור ספקי אנטי-וירוס עד שהחלה להתגלות במערכות מוגנות במאי 2018, כשנתיים לאחר מכן. כל כך הרבה זמן חלף עד שהניסיונות ליצור קשר עם השרת שיהווה את היעד המיועד לנתוני משתמש שנאספו נכשלו - לפחות לעת עתה.
קספרסקי מציינת שיש הרבה אלמנטים שהופכים את Calisto לדומה למדיפּרוֹטוֹן, סוג של תוכנות זדוניות של Mac שהופיעו ב-2017. מלבד הפוטנציאל לרכוש חלקים גדולים של נתונים אישיים, גישה למחזיק מפתחות ושיטת הפצה דומה, קוד ב-Calisto מתייחס לכאורה גם ל-Proton בשמו.
מוצע כי Calisto יכול היה להיות מיוצר על ידי אותם מחברים כמו Proton, ויכול להיות שיכול להיות הגרסה הראשונה או אב טיפוס של זיהומי Backdoor.OSX.Proton.
כדי לסייע בהגנה מפני התקפות דומות, קספרסקי ממליצה לעדכן את macOS, לעולם לא להשבית את SIP, להשתמש בתוכנת אנטי-וירוס ולהפעיל רק תוכנות שהורדו ממקורות מהימנים, כגון Mac App Store.
