 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Это вторая кампания за неделю, нацеленная на пользователей macOS и использующая EmPyre в качестве полезной нагрузки.
Исследователи из компании Malwarebytes выявили новый зловред, атакующий устройства под управлением macOS. Троян LamePyre маскируется под приложение Discord, но даже не пытается имитировать работу оригинала. При этом ее деструктивные функции ограничиваются установкой бэкдора и отправкой на командный сервер снимков экрана. Специалисты считают, что LamePyre находится в стадии разработки, и указывают на возможную связь свежего штамма с другими вредоносами для macOS.
Загрузчик трояна — это Automator-скрипт, который распаковывает и выполняет три Python-сценария. Один из них — клиент opensource-бэкдора EmPyre, доступный для скачивания на GitHub. Второй модуль отвечает за периодическое создание скриншотов и отправку их злоумышленникам, а третий инициирует процесс com.apple.systemkeeper.plist, обеспечивающий запуск трояна в случае перезагрузки устройства.
Исследователи указывают, что программа не скрывает своего присутствия: как и любой скрипт, выполняемый в среде Automator, LamePyre отображается в меню статуса.
Похожие методы использует для атаки зловред DarthMiner, о котором стало известно на этой неделе. Он, как и LamePyre, написан на Python и разворачивает на инфицированном компьютере бэкдор EmPyre. Троян маскируется под пиратскую программу Adobe Zii, однако, в отличие от нового штамма, действительно устанавливает один из ее вариантов. DarthMiner внедряет на целевую систему майнер, но помимо этого может развернуть утилиту для перехвата трафика.
Другая кампания, на которую обратили внимание эксперты, доставляет на компьютер под управлением macOS Word-документ, содержащий вредоносный макрос OSX.BadWord. Если его запустить, скрипт эксплуатирует одну из известных уязвимостей, позволяющую совершить побег из песочницы, выполнить Python-сценарий и развернуть на устройстве opensource-бэкдор Meterpreter.
Исследователи отмечают, что, несмотря на схожесть инструментов и методов, пока рано делать выводы о связи трех кибератак. Все обнаруженные зловреды имеют похожий, но разный исходный код, а IP-адреса их командных серверов отличаются и указывают на хосты, расположенные в разных странах.
 |
нравится | не нравится |  |
Рейтинг: | 1 |
Всего голосов: 1 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
