Аналитики установили, что ноутбуки MacBook подвержены заражению устойчивыми буткитами, которые проникают в систему через устройства, подключённые по аппаратному интерфейсу Thunderbolt.
Зловредные инструменты устанавливаются на ноутбуки с помощью модификации Thunderbolt Option ROM и в обход проверки криптографической подписи в расширяемом интерфейсе прошивки во время процедуры обновления.
Буткит способен пережить переустановку OS X и замену жёсткого диска. Вредонос успешно противостоит попыткам удаления со стороны программного обеспечения и распространяется от ноутбука к ноутбуку, заражая Thunderbolt-устройства, подключённые к инфицированному компьютеру.
Кроме того, буткит заменяет RSA-ключ от Apple в ROM, чтобы предотвратить будущие попытки обновления прошивки посторонними. Новый тип атаки уже окрестили Thunderstrike. На данный момент от него не существует защиты.
Ранее специалисты в области IT-безопасности продемонстрировали новый метод, позволяющий спрятать вирус в графический файл с расширением .PNG. Более того, после сокрытия вируса в картинке его «упаковывают» вместе с просмотрщиком в файл .APK для ОС Android.