2024-11-04T16:21:10+03:00
נוף האיומים עבור מערכת ההפעלה MacOS השתנה משמעותית בשנים האחרונות. הסתובב תשומת לב ב-Trellix. לְפִי ב-StatCounter, השימוש ב-MacOS גדל ב-2% בהשוואה בין התקופות מינואר 2021 לינואר 2023 ומינואר 2023 לאוגוסט 2024. הפופולריות הגוברת של הפלטפורמה בקרב משתמשים ארגוניים מושכת את תשומת לבם של פושעי סייבר – מקבוצות המתמחות בפשעים פיננסיים ועד לנציגי מתמשכים מתקדמים. איומים (APT).
האטרקטיביות של MacOS לתוקפים נובעת לא רק מהגידול במספר המכשירים, אלא גם ממעמד המשתמשים. בניגוד למסופי נקודות מכירה, שבהם MacOS נמצא לעתים רחוקות, מערכת ההפעלה משמשת לעתים קרובות יותר מפתחים, מומחי אבטחת מידע, סגני נשיא ומנהלים בכירים. גישה למכשירים של משתמשים כאלה פותחת הזדמנויות לבצע עסקאות הונאה, להשיג מידע סודי או להשבית מערכות אבטחה דיגיטליות פנימיות.
התפשטות האיומים ניזונה מהשימוש הגובר בשפות תכנות חוצות פלטפורמות כמו Golang ליצירת תוכנות זדוניות. בניגוד לשפות מסורתיות כמו C++, הדורשות שינוי קוד משמעותי כדי לעבוד על פלטפורמות שונות, שפות מרובות פלטפורמות מודרניות מאפשרות לכלול את MacOS ברשימת מערכות היעד להתקפות במינימום מאמץ.
קבוצת ההאקרים הצפון קוריאנית Lazarus פעילה במיוחד בהתקפות על MacOS. מאז 2018, הקבוצה מפיצה תוכנות זדוניות באמצעות אפליקציות מזויפות למסחר במטבעות קריפטוגרפיים, שכן MacOS נפוץ יותר בקרב משתמשי וחובבי מטבעות קריפטוגרפיים. דוגמה לכך היא תוכנת זדונית GMERA המוטמעת בפלטפורמות מזויפות כמו "Union Crypto Trader". קורבנות מפתים באמצעות מיילים דיוגים וטכניקות הנדסה חברתית מתוחכמות. לאחר ההתקנה, התוכנה הזדונית משיגה שליטה על מערכות macOS באמצעות LaunchDaemons או LaunchAgents.
עד 2020, לזרוס הרחיבה את הארסנל שלה לכלול תוכנות זדוניות חוצות פלטפורמות. קמפיין ElectroRAT, שבוצע בשנים 2020-2021, כוון למשתמשי מטבעות קריפטוגרפיים במערכות MacOS, Windows ולינוקס. הקבוצה יצרה אתרי אינטרנט מזויפים ופרופילים מקוונים מזויפים כדי לקדם יישומים זדוניים בפורומים של מטבעות קריפטוגרפיים. התוכנה הזדונית סיפקה גישה בדלת אחורית למערכות של הקורבנות.
Lazarus גם השיקה התקפות פשרה בשרשרת האספקה באמצעות XcodeSpy, המכוונת למפתחי MacOS. תוקפים החדירו סקריפטים זדוניים למאגרי קוד פתוח. בעת הידור פרויקטי Xcode נגועים, מערכות המפתחים נדבקו. גישה זו לא רק סיפקה גישה לסביבות פיתוח, אלא גם יצרה סיכונים עבור התוכנה כולה.
בשנים 2022-2023, לזרוס הגדילה להתמקד ביעדים תאגידיים. הקבוצה ערכה קמפיינים של פישינג במסווה של גיוס, הפצת תוכנות זדוניות חתומות במסווה של קבצים למחפשי עבודה. לאחר פתיחתם, הקבצים התקינו תוכניות לגניבת נתונים ארגוניים.
הקבוצה משתמשת באופן פעיל בשפות תכנות חוצות פלטפורמות Python, Golang ו-Rust. בשנת 2023 התגלתה התוכנה הזדונית RustBucket, דלת אחורית רב-שלבית עבור MacOS שנכתבה ב-Rust. התוכנית משתמשת ב-AppleScript כדי לטעון את המטען ומשתמשת ב-LaunchAgents כדי להדביק אותו למערכת.
מומחים מדגישים: הדעה הרווחת לגבי האבטחה המוגברת של MacOS מבוססת רק על השכיחות הנמוכה יותר של המערכת. ככל שהפופולריות של הפלטפורמה במגזר הארגוני גדלה, כך עולה גם מספר ההתקפות הממוקדות נגד משתמשי MacOS. למרות שהחומר מזכיר קבוצות ספציפיות מאזורים מסוימים, רשימת האיומים רחבה הרבה יותר.
