Перейти к содержанию

Как запустить вредоносный макрос в macOS незаметно для пользователя

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Некоторые пользователи компьютеров под управлением macOS до сих пор уверены, что их машины не нуждаются в защите. Что еще хуже — нередко такого же мнения придерживаются системные администраторы в компаниях, где сотрудники работают на машинах Apple.

На конференции Black Hat USA 2020 исследователь Патрик Уордл попробовал избавить слушателей от этого заблуждения, представив свой анализ недавно пойманных вредоносов под macOS и построив цепочку эксплойтов, позволяющую захватить контроль над компьютером Apple.

Microsoft, макросы и Маки

Один из самых распространенных методов атаки на компьютеры под управлением macOS — через документы с вредоносными макросами. То есть через пакет Microsoft Office. Несмотря на наличие у Apple собственных инструментов для работы с документами, многие пользователи предпочитают офисный пакет Microsoft — кто-то в силу привычки, а кто-то ради удобства коллег.

Разумеется, о потенциальной угрозе документов с вредоносными макросами давно известно. Поэтому и у Microsoft, и у Apple есть механизмы, которые должны защитить пользователя от них.

Программы Microsoft акцентируют внимание пользователя на том, что в документе содержится макрос. Кроме того, если пользователь все же решает запустить макрос, то код исполняется в песочнице, откуда, по задумке разработчиков, нельзя получить доступ к файлам пользователя или причинить иной ущерб системе.

Что касается Apple, то в последней версии своей системы macOS Catalina компания представила несколько новых защитных технологий. В частности, файловый карантин и «нотариальное заверение» (notarization) — метод, который блокирует запуск кода, попавшего на компьютер из сторонних источников.

По идее, сочетания этих технологий должно быть достаточно, чтобы предотвратить использование вредоносного макроса. В теории все выглядит вполне безопасно, но как обстоят дела на практике?

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Peter15
      Как запустить Microsoft Copilot?
      Автор Peter15
      Потребовалось использовать данную программу для настройки компьютера. Воспользовался инструкцией с Comss.ru. Удалось установить загруженный пакет, однако при настройке DNS окно настроек не позволяет сохранить предлагаемые значения, и выводит ошибку красным цветом. Можно ли всё же узнать, как его запустить?
    • PitBuLL
      Как запустить проверку поиска для обновления программ?
      Автор PitBuLL
      Как запустить проверку поиска для обновления программ в Kaspersky Plus?
      В Kaspersky Plus появилось уведомление - Нашли 1 обновление для вашего приложения. 
      Это приложение Adobe Acrobat. Я его обновил сам, открыв Adobe Acrobat, проверил наличие обновлений, обновил. Версия Adobe Acrobat теперь актуальная 25.001.20623. 
      Но в Kaspersky Plus всё равно, уже больше суток висит сообщение -  Нашли 1 обновление для вашего приложения (что нужно обновить Adobe Acrobat, Версия 25.001.20623, Размер 638 Мб).
      Или как убрать это оповещение?
    • Mazahis666
      Подозреваю наличие вирусов и вредоносного ПО.
      Автор Mazahis666
      При использовании Пк периодически гаснет монитор на несколько секунд, стал вылетать браузер-игры-приложения без обьяснения причин. Пк постоянно загружен на 50 и более процентов при использовании браузера, есть подозрения чт подхватил вирус при установке виндоус или каких либо программ. Почитал темы на форуме, ничего не понятно... И да пк достаточно нормальный по характеристикам. Винда 11 прошка лиц.
    • gulyeza
      [РЕШЕНО] Скачал и запустил Trojan
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • PhernulNathral
      Скрытый пользователь John
      Автор PhernulNathral
      Папка "John" в директории Users появилась в 2022 году. В свойствах файлов написано 6 файлов внутри, а на самом деле только 1 - ntuser.dat
×
×
  • Создать...