Злоумышленник может украсть пароли пользователей macOS, сняв скриншот

Олег Иванов 12 Февраля 2018 - 12:48

Домашние пользователи

macOS

Apple

Уязвимости программ

Умышленные утечки информации

Кража данных

...

Злоумышленник может украсть пароли пользователей macOS, сняв скриншот

Разработчики вредоносных приложений могут использовать функцию macOS API для скрытого снятия скриншотов экрана пользователя, после чего задействовать оптическое распознавание символов (Optical Character Recognition, OCR), чтобы считать текст на этих скриншотах.

Функция, о которой идет речь, называется CGWindowListCreateImage, она часто используется приложениями macOS, которые делают скриншоты или стримят рабочий стол пользователя в режиме реального времени.

По словам основателя Феликса Краузе, основателя Fastlane Tools, любое приложение, находящееся в песочнице или за ее пределами, может получить доступ к этой функции и тайно снимать скриншоты экрана пользователя.

В проведенных Краузе экспериментах эксперт смог использовать библиотеку OCR для чтения различных типов информации, запечатленных на скришотах, снятых с помощью CGWindowListCreateImage.

Исследователь считает, что злоумышленник сможет совершить следующий действия при помощи этой техники:

Считать пароли и ключи от менеджеров паролей.
Считать чувствительный исходный код, ключи API или аналогичные данные.
Считать сообщения электронной почты, а также любые другие.
Определить, какие веб-службы использует пользователь (например, менеджеры паролей и тому подобное).
Получить личную информацию — банковские реквизиты, адрес, прочее.

По словам эксперта, он сообщил Apple об этой проблеме в ноябре прошлого года, однако, поскольку проблема не была решена, вчера Краузе опубликовал информацию об этой схеме в своем блоге.

Более того, исследователь даже опубликовал способ, с помощью которого компания могла бы решить данную проблему. По его словам, потребуется только диалоговое окно при использовании каким-либо приложением функции CGWindowListCreateImage.

Напомним, что не так давно мы писали о вредоносной программе для macOS MaMi, которая нацелена на DNS-настройки.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.