מדגם שנחשף לאחרונה שלmacOSתוכנה זדונית ממשיכה את מגמת ההתקפות נגד המערכת האקולוגית של אפל, אך במצבה הנוכחי היא אינה מהווה איום גדול על משתמשי מק.
יצרני תוכנות זדוניות רואים ב-macOS אמטרה גדולה יותרמאי פעם, והגבירו את ניסיונותיהם לעשות זאתלְהִסְתַנֵןמערכת ההפעלה של אפל. עם זאת, לא כל הניסיונות יכולים להיחשב כאיום על המשתמש הממוצע.
ניתוחשל תוכנת כופר חדשה "Turtle" מאת פטריק ורדל ממטרה-ראהמפרט דוגמה אחת של תוכנות זדוניות של macOS שהכילו את כל החלקים המרכיבים של תוכנת כופר. עם זאת, הוא נמצא במצב שיפגע רק באלה שנקבעו ביסודיות שהם נגועים.
השם "צב" נובע מבדיקה של הקוד, שנכתב בגו. הפניות פנימיות ל-"Turtlerans" ו-"TurmiRansom", כמו גם קבצים עם קידומת "TurtleRansom" פירושו שקל לתת לתוכנה הזדונית את שמה.
פירוט ראשוני של קובץ ה-zip של הדוגמה מגלה שהתוכנה הזדונית הורכבה עבור פלטפורמות וארכיטקטורות פופולריות רבות, כולל Windows, Linux ו-macOS. קבצי ה-macOS .pkg לא היו חבילות, אלא התברר שהם קובצי הפעלה של Mach-O שהורכבו עבור אינטל ואפל סיליקוןמחשבי מקינטוש.
כמו כן, נקבע שהתוכנה הזדונית פותחה לראשונה עבור Windows לפני שהועברה ל-macOS. ההתייחסויות ל-Windows הביאו לשיעור סימון גבוה של 24 מתוך 62 ספקי אבטחה ב-VirusTotal לאחר יומיים בלבד, וזה הישג יוצא דופן עבור תוכנות זדוניות ב-macOS.
מפרקים את זה
בדיקה של התוכנה הזדונית מגלה שהקוד חתום כך שהוא יכול לפעול ב-macOS. עם זאת, מכיוון שהוא חתום אד-הוק ולא נוטריוני, macOS Gatekeeper אמור לחסום את ביצועו אלא אם משתמשיםלאפשר לו לרוץ, אם כי ייתכן שהוא גם נפרס על ידי ניצול כלשהו.
ניסיונות לחלץ מחרוזות משובצות עלו טוב מאוד, מכיוון שלכאורה לא היו ניסיונות לטשטש אותם כלל. מה שנמצא מורכב ממחרוזות המאפשרות הגדרת תוכנת כופר פשוטה למדי.
ואכן, מכיוון שההצפנה בוצעה באמצעות ספריית Go crypto/AES, זה היה די טריוויאלי לאסוף את מפתח הכופר עם נקודת שבירה ממוקמת בקפידה. אותו מפתח מקודד קשה נמצא גם בזיכרון.
"מכיוון ש-AES הוא סימטרי וכאן המפתח מקודד קשה, זה טריוויאלי עבורנו לכתוב מפענח", כותב Wardle, לפני יצירת מפענח ובדיקתו.
בעיקר לא מזיק, בינתיים
"במקרה זה, לא סביר שמשתמש macOS ממוצע יושפע מדגימת macOS זו", נכתב בדוח. עם כניסת Gatekeeper, זה דורש מהמשתמשים להתעלם לחלוטין משלב האבטחה, הגדרת אבטחה חריגה, או שהתוכנה הזדונית תופעל באמצעות ניצול אחר כדי להתחיל להצפין קבצים.
אפל גם נקטה צעדים כדי להיות "פרואקטיבית למדי לגבי הפחתת התקפות כופר על macOS", עם הטמעת SIP ונפחי מערכת לקריאה בלבד המגינים על קבצי ליבה של מערכת ההפעלה. הגנות TCC על קבצי משתמשים בספריות מוגנות עוזרות גם להגביל את ההשפעות של תוכנות כופר.
בעוד רובמקהמשתמשים לא יצטרכו לדאוג יותר מדי לגבי תוכנת הכופר של Turtle, קיומה היא סיבה נוספת "לתת לנו הפסקה לדאגה", כותב וורדל, כמו גם לעזור להתחיל שיחות על דרכים לזהות ולמנוע דגימות והתקפות כאלה macOS.
כיצד להגן על עצמך מפני תוכנות כופר של Turtle
במצב הנוכחי, המשתמשים לא צריכים לעשות כל כך הרבה כדי לשמור על עצמם מפני ההשפעות של תוכנת הכופר של Turtle. כל מה שבאמת צריך להקפיד עליו הוא היגיינת מחשוב טובה.
לדוגמה, שימת לב להנחיות אבטחה אחרות של macOS בעת הפעלת יישומים או פתיחת קבצים, או הורדת תוכנה רק ממקורות מקוונים בטוחים מוכרים או מוכרים. כמו כן, אי פתיחה עיוורת של קבצים שנשלחו ממקורות לא ידועים בדוא"ל היא צעד טוב.
הגיון מקוון אמור לשמור על בטיחות רוב האנשים באופן כללי, תוכנות כופר או לא.
![תמיכת HomeKit Secure Video מתפרסמת עבור Anker eufyCam 2 [u]](https://photos5.appleinsider.com/gallery/34955-63535-eufyCam-2-Box-xl.jpg)
