Вредоносный код выдает себя за популярные программы и имеет поддельную цифровую подпись.

Компания Guardz, специализирующаяся на кибербезопасности, объявила о том, что обнаружила новый вредоносный код, предназначенный для “кражи конфиденциальных данных” в фоновом режиме на macOS. Вредоносный код получил название “ShadowVault” и, по данным сообщения на форуме, найденного Guardz, может перехватывать имена пользователей и пароли, сохраненные данные кредитных карт, данные из криптовалютных кошельков и многое другое.

Guardz узнала о ShadowVault через форум XSS в темной сети, где он предлагался всем желающим за 500 долларов в месяц за аренду вредоносного кода. Разработка ShadowVault является частью растущего тренда вредоносного кода как услуги (иногда называемого MaaS) против macOS. Еще в апреле лаборатория Cyble Research and Intelligence Labs обнаружила AMOS , а в марте Uptycs обнаружила MacStealer , оба из которых были доступны злоумышленникам за плату.

База данных CVE.report, которая отслеживает уязвимости и утечки, не содержит записи о ShadowVault, и Apple не комментировала вредоносный код. Случайно или нет, Apple выпустила экстренное обновление Rapid Security Response для macOS 13.4.1 (а также для iOS 16.5.1 и iPadOS 16.5.1) в понедельник, но обновление было отозвано после многочисленных сообщений о том, что оно вызывает сбой веб-приложений. Однако заметки о безопасности обновления кажутся указывать на то, что уязвимость не связана с ShadowVault.

Apple имеет механизмы защиты в macOS и выпускает патчи безопасности через обновления ОС, поэтому важно устанавливать их, когда они доступны. Если Apple отзывает обновление, как это было в случае с macOS 13.4.1(a), компания выпустит его снова, как только оно будет должным образом исправлено.

При загрузке программного обеспечения следует получать его из надежных источников, таких как App Store (который проверяет безопасность своего программного обеспечения) или напрямую от разработчика.

Источник: securitylab