کشف نسخه اولیه بدافزار Proton با نام Calisto

پژوهشگران امنیتی، بدافزار جدیدی را کشف کرده اند که نسخه اولیه بدافزار Proton مربوط به سیستم عامل macOS است. بنظر می رسد که این بدافزار، یک سال پیش از Proton و در سال ۲۰۱۶ توسعه یافته باشد. بدافزار که توسط  پژوهشگران کسپرسکی Calisto نام گرفته است، روی VirusTotal بارگذاری شده بود و تا ماه می ۲۰۱۸، برای حدود دو سال ناشناخته باقی مانده بود، تا اینکه پژوهشگران کسپرسکی آنرا شناسایی کردند و بنابر گفته محققان این بدافزار همچنان در حال توسعه است.
در مارس ۲۰۱۷، Proton به یک بدافزار مشهور تبدیل شد، تا حدی که در فروم های زیرزمینی، این بدافزار با قیمت هایی بین۱۲۰۰ تا ۸۲۰۰۰۰ دلار فروخته می شد. دو ماه بعد، زمانی که وب‌سایت HandBrake هک و برنامه رسمی آن با بدافزار آلوده شد، Proton برای اولین بار در یک حمله سایبری دیده شد. در اکتبر ۲۰۱۷، بار دیگر این بدافزار در هک وب‌سایت Eltima Player مورد استفاده قرار گرفت.
مشابه Proton، Calisto نیز ویژگی هایی دارد که می تواند دسترسی کامل در یک رایانه پیدا کند. قابلیت های Calisto شامل این موارد است: ورود از راه دور به Mac آلوده، فعالسازی به اشتراک‌گذاری صفحه، پایداری در سیستم، افزودن یک حساب root مخفی به ایستگاه کاری قربانی و جمع آوری فایل و ارسال آن به یک سرور C&C راه دور. Calisto داده هایی از جمله محتوای keychain، جزئیات استخراج شده از صفحه ورود کاربر، اطلاعات اتصال شبکه و کوکی ها، نشان ها و تاریخچه مرورگر کروم را به سرقت می برد.
علیرغم قابلیت های Calisto، این بدافزار تاثیرگذاری چندانی ندارد، به این دلیل که ویژگی امنیتی SIP (System Integrity Protection) در سیستم عامل mac، از فعالیت آن جلوگیری می کند. همچنین Calisto قبل از انتشار SIP ایجاد شده است، از این رو ویژگی SIP به راحتی با آن مقابله می کند. اکثر کاربران Mac، در صورتی که SIP را غیرفعال نکرده باشند، از این تهدید در امان هستند. علاوه براین، بنظر می‌رسد که Calisto دیگر توسط سازندگان آن پشتیبانی نمی شود و خطر کمتری نسبت به Proton ایجاد می‌کند.