Давеча, как известно, известная компания Bitdefender официально объявила о выявлении очередного вредоносного приложения для компьютеров Apple Mac и MacBook. Вирус, который назвали Backdoor.MAC.Eleanor, оказался способен полностью скомпрометировать систему. С его помощью злоумышленники, в частности, могли копировать файлы, контролировать веб-камеру, запускать свой код и пр.
В общем, имеет место быть большая проблема. В этой связи, далее — о том, как работает этот вирус, как определить, заразил ли он ваш Mac, и что делать если таки заразил. Итак, по порядку.
-
как вирус Backdoor.MAC.Eleanor мог проникнут в Mac
Хакеры в поиске разного рода уязвимостей в компьютерном ПО очень часто идут путем наименьшего сопротивления и ищут слабое звено. И таким звеном, как бы странно это не звучало, в большинстве случаев оказывается ничего не подозревающий пользователь.
И Backdoor.MAC.Eleanor, к сожалению, стал еще одним доказательством этой закономерности. В этот раз вирус поместили в код стороннего приложения EasyDoc Converter, предназначенного для ускоренной работы с файлами через специальное диалоговое окно. Вот такое:
После установки данного приложения автоматически запускается вредоносный скрипт. Он, в свою очередь, создает скрытый сервис Tor-а, который и позволяет злоумышленнику удаленно контролировать зараженный компьютер, обеспечивая возможность модификации файлов, доступ к списку запущенных процессов, приложений и баз данных от имени админинистратора, выполнение команд с сценариев и отправку сообщений с вложениями через электронную почту.
Кроме того, Backdoor.MAC.Eleanor задействовал специальную утилиту «wacaw«, посредством которой злоумышленник мог записывать видео и снимать фото непосредственно со встроенной в Mac камеры. По данным Bitdefender, данный софт также позволяет хакеру «заблокировать ваш ноутбук с целью шантажа угрозами разослать персональные данные, или превратить ноутбук в элемент бот-сети, которая может использоваться для атак на другие устройства» (все подробности — тут, язык — английский). В качестве примера:
-
как искать Backdoor.MAC.Eleanor в своем Mac
С этим, по мнению специалистов, в данном случае несколько проще. Вирус мог попасть в ваш комп только с упомянутым EasyDoc Converter. А значит, если ранее вы это приложение скачали, установили и запустили на своем Mac, то вирус уже в нем.
Однако у Mac-ов есть специальный инструмент безопасности. Называется он Gatekeeper («привратник»), и в его задачу входит предотвращать работу таких вот сторонних приложений, полученных от неустановленных разработчиков. То есть, если пользователь запускает на Mac-е программу, скачанную не из официального каталога Apple, то Gatekeeper гарантированно предупредит, что данный софт запускать нельзя.
Другими словами, чтобы «подхватить» вирус Backdoor.MAC.Eleanor, надо было не просто скачать и запустить EasyDocs Converter, но еще и проигнорировать запрос Gatekeeper. Ну, или предварительно отключить его вообще. Так что, если «привратник» на своем Mac вы не отключали (перенастроив тем самым параметры безопасности ОС) и приложение EasyDocs на комп никогда не скачивали, то и вируса этого там не будет. В противном случае, варианты могут быть гораздо более неприятными.
[irp]как удалить Backdoor.MAC.Eleanor
Если ваш Mac еще не заблокирован, то это уже очень хорошо. Известно, что Malwarebytes и Sophos уже обновили свои антивирусные базы, и их антивирусы способны обнаруживать Backdoor.MAC.Eleanor. Потому как минимум два способа найти и удалить вирус есть. Это приложение Malwarebytes Anti-Malware для Mac или Sophos Home (ссылки на официальные сайты). Устанавливаем антивирус и лечим комп. Sophos, к слову, бесплатный.
А чтобы впредь такого рода неприятности повторялись как можно реже, требуется не много. Во-первых, нужно крайне внимательно относится к любому «левому»/стороннему софту, который вы по той или иной причине хотите установить на свой Mac.
Во-вторых, настроить в компе разрешение на запуск только программ из App Store от авторизированных разработчиков. Для этого жмем «Настройки» —> «Защита и безопасность», включаем доступ к изменению настроек (надо тапнуть по иконке в виде замка внизу экрана и ввести пароль администратора) и для опции «Разрешить использование программ, загруженных из:» устанавливаем «App Store для Mac и от установленных разработчиков».
И в третьих, подумать о возможности использовать в дальнейшем программки вроде BlockBlock, которые в постоянном режиме контролируют установку любого ПО, в качестве дополнительной меры к периодическому сканированием системы имеющимся антивирусом.