Varnost Global 24h
Med 2ndin 6thmaja, a Ročna zavora povezava zrcala za prenos programske opreme (download.handbrake.fr) je bila ogrožena in razvijalci so objavili datoteko Opozorilo obvestilo dne 6thmaja, da bi uporabnike usmeril k ugotavljanju, ali je njihove sisteme MacOS okužil zloglasni trojanec Proton Remote Access (RAT). Poročali so, da je približno 50% vseh prenosov, opravljenih v tem časovnem okviru, povzročilo okužene sisteme naprav. Zdaj pa raziskovalci na Kaspersky so uspeli naleteti na predhodnika zlonamerne programske opreme Proton RAT, Calisto, za katerega menijo, da je bil razvit leto pred Protonom, saj ni mogel obiti zaščite integritete sistema (SIP), ki zahteva skrbniške poverilnice za urejanje osnovnih datotek, funkcija, ki se je takrat izboljševala. Raziskovalci Kasperskyja so ugotovili, da je bil Calisto zapuščen v korist Protona, saj je bila Calistova koda videti nepolirana. Calisto je bil odkrit dne VirusTotal , in zdi se, da je virus ostal tam dve do tri leta, do zdaj pa ni bil odkrit.
Proton RAT je nevarna in močna zlonamerna programska oprema, ki je bila prvič izdana konec leta 2016 in uporablja pristna potrdila za podpisovanje kode Apple za manipulacijo s sistemom in pridobivanje korenskega dostopa v napravah MacOS. Zlonamerna programska oprema lahko zaobide vse veljavne varnostne ukrepe, vključno z dvofaktorsko overitvijo iCloud in sistemsko zaščito integritete, tako da lahko na daljavo spremlja računalniško aktivnost tako, da beleži pritiske tipk, izvaja lažna pojavna okna za zbiranje informacij, posname posnetke zaslona, na daljavo si ogleda vse aktivnost na zaslonu, pridobivanje podatkovnih datotek, ki vas zanimajo, in gledanje uporabnika prek njegove spletne kamere. Zdi se, da je zlonamerna programska oprema, ko je bila enkrat zaznana, odstranjena na preprost način, vendar če je ugotovljeno, da je bila aktivna v sistemu (če se v aplikaciji Activity Monitor v napravi prikaže postopek »Activity_agent«), so lahko uporabniki prepričani, da je shranili vsa svoja gesla in dostopali do vseh podatkov, shranjenih v brskalnikih ali Macovem lastnem obesku za ključe. Zato jih morajo uporabniki takoj zamenjati na čisti napravi, da ne bi ogrozili svojih finančnih in spletnih podatkov.
Najbolj zanimivo pri protonskem RAT je, da po navedbah Celja za integracijo kibernetske varnosti in komunikacij v New Jerseyju (NJCCIC) , jo je ustvarjalec zlonamerne programske opreme oglaševal kot programsko opremo za spremljanje korporacij in celo staršev za domače spremljanje digitalne dejavnosti svojih otrok. Ta programska oprema je imela ceno med 1.200 USD in 820.000 USD na podlagi licenc in funkcij, dodeljenih uporabniku. Te funkcije 'spremljanja' pa so bile nezakonite in ker so hekerji prijeli kodo, je bil program poslan prek številnih prenosov v YouTubove videoposnetke, ogroženih spletnih portalov in programske opreme HandBrake (v primeru, da HandBrake-1.0. 7.dmg je bil nadomeščen z datoteko OSX.PROTON) in prek temnega spleta. Čeprav se uporabniki s Calisto nimajo česa bati, dokler je njihov SIP omogočen in deluje, raziskovalcem zdi zmožnost kode za upravljanje s sistemom z verodostojnimi poverilnicami Apple zaskrbljujoča in se bojijo, kaj bo prihodnja zlonamerna programska oprema sposobna narediti z istim mehanizmom. Na tej stopnji je protonski RAT odstranljiv, ko ga zaznamo. Delo na isti temeljni manipulaciji s potrdilom pa bi se lahko zlonamerna programska oprema kmalu pritrdila na sisteme kot stalni agent.
