Давно прошли те времена, когда считалось, что Mac не страшны трояны, так как их попросту никто не пишет. Эксперты Sixgill обнаружили на русскоязычном форуме в даркнете и выставили на продажу самый опасный «вредонос» для macOS, получивший название Proton. Авторы рассчитывают продать его за 40 биткоинов, что по текущему курсу равняется примерно $50 000. Для тех, у кого нет таких денег, есть предложение подешевле: 2 биткоина ($2500) за одну установку.

Proton – самый опасный троян для Mac:	Фото - 2

Согласно данным специалистов, Proton написан на Objective C и не обнаруживается существующими антивирусными решениями. Вредонос рекламируется как «профессиональное FUD-решение для слежки и контроля», способное получить root-доступ к компьютеру и фактически перехватить над ним контроль. Распространять зловред предлагается под видом различных легитимных приложений. Покупатель сможет легко изменить иконку и название вируса.

Proton включает себя функции кейлоггера, может делать снимки рабочего стола, дистанционно активировать веб-камеру. Также он способен похищать пользовательские файлы, загружая их на удаленный сервер, или скачивать произвольные файлы на зараженную машину. Помимо этого, Proton может показывать жертве кастомное окно, запрашивая информацию о банковской карте, водительских правах или другие конфиденциальные данные. Кроме того, по данным Xaker, вредонос способен получить доступ к iCloud маковода, даже если активна двухфакторная аутентификация.

Но хуже всего тот факт, что создатели Proton смогли обойти механизмы контроля Apple, ведь компания предъявляет строгие требования к приложениям сторонних разработчиков. В итоге код трояна обладает подлинной подписью, которая обманывает защитные механизмы. Исследователи предполагают, что вирусописатели либо используют поддельный Apple ID для Apple Developer Program, либо используют похищенные у других разработчиков учетные данные. Как бы то ни было, в результате у злоумышленников есть все необходимые сертификаты.

Proton рекламируется не только в даркнете. Помимо этого у вредоноса есть официальный сайт и даже демонстрационные ролики на YouTube.

По мнению экспертов, для получения root-привилегий на компьютере Proton эксплуатирует уязвимость «нулевого дня», которая, очевидно, неизвестна широкой публике и является собственностью авторов малвари.