Хакеры атакуют пользователей macOS с помощью вируса-вымогателя NotLockBit

В течение многих последних лет атаки программ-вымогателей были преимущественно нацелены на платформы Windows и Linux, но за последние два года хакеры начали переключать своё внимание и на пользователей macOS. Эксперты Trend Micro накануне заявили об обнаружении шифровальщика macOS.NotLockBit, активно распространяемого по всему миру.

Обнаружение программы-вымогателя .NotLockBit, рассчитанной на пользователей macOS, по словам аналитиков Trend Micro, свидетельствует об изменении ситуации с постоянными атаками шифровальщиков на Windows и Linux, поскольку эта обнаруженная вредоносная программа, названная в честь известного варианта вредоносного ПО LockBit, может ознаменовать собой начало более серьёзных хакерских кампаний по вымогательству против пользователей Mac.

Обнаруженный исследователями Trend Micro и позднее проанализированный SentinelLabs вредонос-вымогатель macOS.NotLockBit демонстрирует широкие возможности блокировки файлов и кражи данных, что представляет потенциальную опасность для пользователей macOS.

Как отмечают эксперты Trend Micro, программы-вымогатели, нацеленные на устройства Mac, как правило, не имеют необходимых инструментов для настоящей блокировки файлов или извлечения данных. Общее мнение было таково, что macOS лучше защищена от таких угроз, отчасти из-за встроенных функций безопасности Apple — защиты Transparency, Consent, and Control (TCC). Но появление macOS.NotLockBit сигнализирует о том, что хакеры активно разрабатывают более сложные методы для атак на устройства Apple.

Вредонос macOS.NotLockBit функционирует аналогично другим программам-вымогателям, но нацелен исключительно на системы macOS. Вредоносная программа работает только на компьютерах Mac на базе Intel или Apple Silicon Mac с установленным программным обеспечением эмуляции Rosetta, что позволяет ей выполнять двоичные файлы x86_64 на новых процессорах Apple.

После запуска программа-вымогатель собирает системную информацию, включая название продукта, версию и архитектуру. Она также собирает данные о том, как долго система работала с момента последней перезагрузки. Перед блокировкой файлов пользователя macOS.NotLockBit пытается извлечь данные на удалённый сервер, используя хранилище Amazon Web Services (AWS) S3. Вредоносная программа использует открытый ключ для асимметричного шифрования, что означает, что расшифровка без закрытого ключа злоумышленника практически невозможна.