Bezpieczeństwo macOS w 2025 roku: jakie zagrożenia zagrażają firmom?

18 Lutego 2025

W 2024 roku złośliwe oprogramowanie dla macOS stało się poważnym zagrożeniem dla firm, a w 2025 roku sytuacja raczej się nie zmieni. Hakerzy wykorzystują infostealery maskujące się jako przydatne aplikacje, zaawansowane backdoory i wyrafinowane cyberataki, aby włamywać się do firm i kraść dane.

W tym przeglądzie przedstawimy najgroźniejsze wirusy dla macOS, które pojawiły się w 2024 roku i nadal stanowią zagrożenie dla użytkowników. Dowiesz się, jak działają, jak można je wykryć i jakie środki pomogą się przed nimi zabezpieczyć.

Przed wszystkimi tymi zagrożeniami klientów SentinelOne niezawodnie chroni platforma Singularity. Wykorzystuje ona zaawansowane technologie wykrywania i reagowania, analizując zachowanie programów w czasie rzeczywistym i blokując wszelkie podejrzane aktywności. Dzięki potężnej sztucznej inteligencji i zautomatyzowanym mechanizmom ochrony, Singularity zapobiega atakom, zanim zdążą wyrządzić szkody, zapewniając bezpieczeństwo użytkownikom korporacyjnym macOS.

Infostealery | Amos Atomic, Banshee, Cuckoo, Poseidon i inne

W 2024 roku infostealery dla macOS stały się jednym z najpoważniejszych zagrożeń, a ich liczba osiągnęła rekordowy poziom. Te złośliwe programy są zaprojektowane do kradzieży poufnych informacji, takich jak loginy, hasła, dane finansowe, pliki, a nawet sesje użytkowników. Mogą maskować się jako legalne aplikacje, rozprzestrzeniać się poprzez wiadomości phishingowe lub zainfekowane oprogramowanie oraz działać w ukryciu, przechwytując dane bez wiedzy użytkownika.

Jedną z kluczowych metod działania rodziny Amos jest przechwytywanie danych logowania użytkownika. Bez dostępu do loginu i hasła złośliwe oprogramowanie nie jest w stanie odblokować Keychain — wbudowanego w macOS menedżera haseł i kluczy. Aby obejść tę barierę, infostealery wykorzystują komendy AppleScript wykonywane przez osascript. Skrypt ten wyświetla fałszywe okno dialogowe, podszywając się pod systemowe żądanie wprowadzenia hasła. Wprowadzone dane są następnie przekazywane cyberprzestępcom, umożliwiając im dostęp do wszystkich zapisanych kont.

Tego typu ataki stale się rozwijają, obchodząc standardowe środki ochrony. Dlatego użytkownicy macOS, zwłaszcza w środowisku biznesowym, powinni korzystać z niezawodnych narzędzi do cyberbezpieczeństwa.

Nowe wersje infostealerów z rodziny Amos Atomic, które pojawiły się w 2024 roku, aktywnie wykorzystywały różne metody obfuskacji kodu AppleScript. Cyberprzestępcy wymyślali coraz bardziej wyrafinowane sposoby ukrywania złośliwych poleceń, aby utrudnić ich wykrycie.

Takie metody są szczególnie skuteczne przeciwko rozwiązaniom antywirusowym, które opierają się wyłącznie na statycznej analizie plików binarnych. W niektórych przypadkach złośliwe ciągi znaków są zaszyfrowane wewnątrz programu, a w innych — pobierane z zewnętrznego źródła i wykonywane w pamięci operacyjnej, unikając wykrycia na dysku.

Jednak rozwiązania wykorzystujące dynamiczne wykrywanie wykazują znacznie większą skuteczność przeciwko tego typu zagrożeniom. Ponieważ do przeprowadzenia ataku złośliwe oprogramowanie i tak musi odszyfrować i uruchomić polecenia w otwartej formie, analiza behawioralna jest w stanie na czas zidentyfikować i zablokować zagrożenie.

Backdoor Activator | Trojan maskujący się jako aplikacje biznesowe

Ten złośliwy trojan został po raz pierwszy wykryty przez badaczy w styczniu 2024 roku. Rozprzestrzeniał się poprzez zhakowane wersje popularnych programów skierowanych do firm i użytkowników zajmujących się produktywnością. Cyberprzestępcy wykorzystywali szeroki wachlarz aplikacji, aby dotrzeć do jak największej liczby użytkowników. Głównym celem tej kampanii prawdopodobnie było stworzenie botnetu macOS lub masowe dostarczanie dodatkowego złośliwego oprogramowania.

W toku śledztwa wykryto kilkaset unikalnych plików binarnych Mach-O zainfekowanych przez macOS.Bkdr.Activator.

Jak działa złośliwe oprogramowanie?

Ładowarka złośliwego oprogramowania wykonuje następujące działania:

• Sprawdza obecność Pythona w systemie. Jeśli go nie ma, instaluje go samodzielnie.
• Wykorzystuje środowisko uruchomieniowe Pythona do pobrania i instalacji backdoora.
• Ten backdoor pozwala cyberprzestępcom zdalnie wykonywać dowolne polecenia na zainfekowanym urządzeniu.

Jak wykryć zagrożenie?

Mechanizm utrzymania (Persistence)

• Złośliwy agent zapisuje się w systemie pod nazwą launched.@.plist, gdzie @ jest zastępowane unikalnym UUID, wygenerowanym w momencie wykonania.

Identyfikator pakietu (Bundle ID)

• Chociaż trojan używa różnych nazw wyświetlanych, zawsze wykorzystuje ten sam bundle identifier: -.GUI.

LightSpy | Od urządzeń mobilnych do macOS

Złośliwe oprogramowanie LightSpy pojawiło się już w 2019 roku i początkowo było wykorzystywane w kampaniach przeciwko użytkownikom urządzeń mobilnych w Hongkongu oraz innych regionach chińskojęzycznych. Jednak w 2024 roku badacze odkryli wersję LightSpy dla macOS, dostosowaną do systemów stacjonarnych. Nowa modyfikacja zawiera zestaw wtyczek przeznaczonych do szpiegowania i zdalnego zarządzania systemem, a głównymi celami, według dostępnych danych, są użytkownicy w Indiach.

Możliwości LightSpy

Ten modułowy system inwigilacyjny posiada następujące funkcje:

• Kradzież plików: wykrada dane z popularnych komunikatorów (Telegram, QQ, WeChat), a także prywatne dokumenty i pliki multimedialne.
• Nagrywanie audio i wideo: rejestruje dźwięk z mikrofonu zainfekowanego urządzenia oraz wykonuje zdjęcia za pomocą wbudowanej kamery.
• Zbieranie informacji: pobiera historię przeglądania, listę dostępnych sieci Wi-Fi, dane o zainstalowanych aplikacjach.
• Dostęp do systemu: uzyskuje dane z Keychain (magazyn haseł macOS) oraz listę podłączonych urządzeń.
• Zdalne wykonywanie poleceń: uruchamia komendy shell, co potencjalnie daje pełną kontrolę nad systemem.

Aby ukryć swoją aktywność, LightSpy wykorzystuje zaawansowane techniki, takie jak certificate pinning, uniemożliwiając przechwycenie ruchu sieciowego i wykrycie połączenia z serwerem kontroli (C2).

Artefakty kodu wskazują, że deweloperzy LightSpy są użytkownikami języka chińskiego, a eksperci łączą to narzędzie z grupą APT41 (znaną jako BrazenBamboo). Nie jest jednak jasne, czy złośliwe oprogramowanie jest wykorzystywane także przez inne grupy hakerskie.

Jak wykryć zagrożenie?

Połączenia sieciowe

• Złośliwe oprogramowanie łączy się z serwerem hxxps://103.27[.]109[.]217:52202, gdzie znajduje się również panel administracyjny, dostępny przez port 3458.

Artefakty plikowe

• LightSpy składa się z kilku komponentów: biblioteki dylib, kilku wtyczek oraz loadera.
• Niektóre znane wersje wtyczek zawierają ścieżkę do pliku /Users/air/work/.
• Badacze opracowali publiczne reguły YARA do wykrywania tego typu zagrożeń (dostępne tutaj).

Jednak zaawansowane grupy hakerskie rzadko używają tego samego złośliwego kodu z jawnymi wskaźnikami kompromitacji, dlatego niezawodne rozwiązanie klasy EDR (Endpoint Detection and Response) — to najlepszy sposób ochrony przed tego typu atakami.

BeaverTail | Kampania «Zainfekowana rozmowa kwalifikacyjna» wymierzona w kandydatów do pracy

BeaverTail — to wieloplatformowe złośliwe oprogramowanie atakujące użytkowników macOS i Windows. Jest ono powiązane z państwowymi grupami hakerskimi z Korei Północnej. Cyberprzestępcy podszywają się pod rekruterów na takich platformach jak LinkedIn, X (dawniej Twitter) i Freelancer, oferując ofiarom fałszywe oferty pracy.

Fałszywi rekruterzy przekonują kandydatów do pobrania i uruchomienia trojanizowanych aplikacji, zamaskowanych jako narzędzia do przeprowadzania rozmów online lub współpracy. Niektórzy badacze nazywają tę kampanię «Zainfekowana rozmowa kwalifikacyjna» (Contagious Interview), ponieważ powiela taktykę wcześniejszych ataków, takich jak Operation In(ter)ception i Operation Dream Job, również związanych z Koreą Północną.

Jak działa BeaverTail?

• Złośliwe oprogramowanie zostało opracowane z wykorzystaniem Qt framework, co pozwala mu działać zarówno na macOS, jak i na Windows.
• Podrobione i zainfekowane zostały legalne aplikacje, takie jak MiroTalk i FreeConference.
• Po instalacji BeaverTail wykonuje szereg złośliwych działań:

Główne zagrożenia:

• Kradzież danych logowania i danych użytkowników: kradnie hasła przechowywane w przeglądarkach oraz jest wymierzony w 13 portfeli kryptowalutowych zainstalowanych jako rozszerzenia przeglądarek.
• Dostarczanie dodatkowego złośliwego oprogramowania: pobiera kolejne złośliwe moduły, w tym InvisibleFerret — backdoor napisany w Pythonie, zdolny do rejestrowania naciśnięć klawiszy, kradzieży plików i instalowania narzędzi do zdalnego zarządzania systemem.

Jak wykryć BeaverTail?

Połączenia sieciowe

• Złośliwe oprogramowanie łączy się z serwerami:
  • 95.164.17[.]24
  • 45.140.147[.]208

HZ RAT | Backdoor dla macOS atakuje użytkowników komunikatorów

W sierpniu badacze wykryli wersję backdoora HZ RAT dla macOS, wcześniej znanego jako złośliwe oprogramowanie dla Windows. Ten trojan był dystrybuowany jako fałszywy instalator OpenVPN Connect i był wymierzony w użytkowników komunikatorów DingTalk i WeChat, próbując wykraść ich dane.

Jak działa HZ RAT?

Zainfekowany plik instalacyjny OpenVPN Connect zawiera dwa pliki wykonywalne w katalogu MacOS:

• exe — skrypt Bash, który najpierw uruchamia init, a następnie aktywuje OpenVPN Connect.
• init — główny backdoor w formacie Intel x86 Mach-O, który wykonuje złośliwe polecenia.

Po uruchomieniu HZ RAT nawiązuje połączenie z serwerem C2, wykorzystując listę wbudowanych adresów IP.

Funkcjonalność backdoora

HZ RAT wykonuje następujące polecenia:

1. Wykonywanie poleceń Shell – zdalne zarządzanie zainfekowanym systemem.
2. Zapisywanie plików na dysku – możliwość pobierania złośliwego oprogramowania.
3. Przesyłanie plików na serwer – kradzież dokumentów i innych danych.
4. Monitorowanie aktywności ofiary – sprawdzanie, czy urządzenie jest online.

Zbieranie danych z WeChat i DingTalk

Jeśli na systemie zainstalowane są WeChat lub DingTalk, HZ RAT kradnie:

• WeChat ID
• Adres e-mail
• Numer telefonu
• Nazwę firmy i działu (z DingTalk)
• Służbowy adres e-mail i telefon

Dodatkowo, HZ RAT może przechwytywać loginy i zapisane hasła z Google Password Manager, co czyni go szczególnie groźnym dla użytkowników korzystających z automatycznego uzupełniania haseł.

Jak się chronić?

• Pobierać VPN i inne aplikacje wyłącznie z oficjalnych stron.
• Sprawdzać cyfrowe podpisy instalatorów przed ich uruchomieniem.
• Korzystać z rozwiązań EDR, które wykrywają podejrzaną aktywność programów.
• Regularnie aktualizować WeChat i DingTalk, ponieważ ich deweloperzy mogą wdrażać mechanizmy ochrony przed takimi atakami.

NotLockBit | Ransomware dla macOS staje się realnym zagrożeniem

Chociaż masowe ataki ransomware na macOS nie zostały jeszcze odnotowane, nie oznacza to, że cyberprzestępcy nie analizują możliwych sposobów ich realizacji. W przeciwieństwie do systemów Windows i Linux, komputery Apple w środowisku korporacyjnym są wykorzystywane w inny sposób, dlatego hakerzy nie skupiają się jeszcze na masowym infekowaniu macOS.

Jednak macOS jest bardziej podatny na wyciek danych niż na szyfrowanie plików, co oznacza, że ransomware może być stosowane jako manewr odwracający uwagę, maskujący inne złośliwe działania. W 2024 roku badacze zaobserwowali aktywność cyberprzestępców testujących mechanizmy ataków hybrydowych: blokowanie plików + kradzież danych.

Jak działa NotLockBit?

• Ransomware jest napisane w języku Go i dystrybuowane jako plik binarny x86_64.
• Po uruchomieniu zbiera informacje systemowe i za pomocą wbudowanego klucza publicznego generuje losowy klucz główny do asymetrycznego szyfrowania.
• Pliki są szyfrowane i otrzymują rozszerzenie .abcd.
• Tapeta pulpitu zostaje zmieniona na fałszywe ostrzeżenie LockBit 2.0.

Wnioski

Zagrożenia wykryte w 2024 roku pokazują, że macOS staje się coraz bardziej atrakcyjnym celem dla zaawansowanych cyberataków na firmy. Niektóre złośliwe programy, takie jak Amos Atomic, udoskonaliły już istniejące metody, podczas gdy inne, na przykład NotLockBit i CloudFake, sugerują pojawienie się nowych taktyk.

Nie mniej niepokojące jest aktywne wykorzystywanie wieloplatformowych frameworków, co wskazuje na to, że ataki na macOS są teraz częścią większych kampanii cyberprzestępczych. Oznacza to celowe rozszerzenie ataków, w których cyberprzestępcy wykorzystują luki w zabezpieczeniach macOS, często niedoceniane w środowiskach korporacyjnych.

Dla zespołów ds. bezpieczeństwa główne wnioski z 2024 roku są jasne:

• Proaktywne wykrywanie zagrożeń staje się krytycznie ważne.
• Potężne rozwiązania do wykrywania i ochrony urządzeń końcowych są niezbędne do zapobiegania atakom.
• Szybka reakcja na incydenty – klucz do skutecznej ochrony biznesu.

Wszystkie omówione rozwiązania zabezpieczające można zakupić w naszym sklepie Softlist. Nasza firma nie tylko dostarcza licencje na nowoczesne rozwiązania antywirusowe, ale także pomaga w ich wdrożeniu, konfiguracji i wsparciu, zapewniając maksymalną ochronę Twojego biznesu przed cyberzagrożeniami.