Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Исследователь идентифицировал macOS-зловредов, засветившихся в недавних атаках на криптовалютные биржи.
Стали известны подробности о зловредах, которых киберпреступники пытались установить на macOS-компьютеры сотрудников криптобирж через две уязвимости нулевого дня в Firefox. Всего на данный момент обнаружено два бэкдора, задействованных в кампании. ИБ-исследователь Патрик Уордл (Patrick Wardle) изучил предоставленные ему образцы: они относятся к семействам NetWire и Mokes.
NetWire попадает на устройство в виде исполняемого файла Finder.app. Зловред написан не на Objective-C — по мнению экспертов, это признак того, что автор программы предпочитает работать с Windows или Linux.
После установки бэкдор закрепляется в системе сразу двумя способами. Во-первых, он создает агент загрузки, запускающий зловреда каждый раз, когда пользователь входит в систему. Во-вторых, он прописывается в автозагрузке. Уордл отмечает, что при этом фальшивый Finder отображается в списке автозагрузки, что сводит его скрытность на нет.
Оказавшись в системе, NetWire считывает (при наличии) или создает файл .settings.conf, содержащий идентификатор жертвы и отметку о времени заражения. После этого зловред пытается связаться с командным центром. Установить с ним контакт Уордлу не удалось: C&C-сервер на момент анализа был недоступен.
В случае успешного соединения NetWire ждет дальнейших указаний — в частности, зловред умеет:
Бэкдор работает во многих версиях ОС для компьютеров Apple, включая довольно старые, например OS X 10.5 Leopard, вышедшую в 2007 году.
Образец Mokes, попавший в руки исследователя, устанавливает себя в одну из прописанных в его коде папок под одним из закодированных имен. Так, при первом запуске на виртуальной машине он создал в директории ~/Library/Dropbox файл quicklookd. При повторной установке бэкдор сгенерировал папку App Store/storeaccountd.
После запуска зловред пытается соединиться с командным сервером и закрепиться в системе при помощи агента загрузки.
Бэкдор располагает теми же возможностями, что и первая версия, обнаруженная экспертами «Лаборатории Касперского» в 2016 году. В частности, он умеет красть файлы, делать скриншоты, записывать аудио и видео, а также считывать нажатия клавиш.
Оба бэкдора плохо определяются представленными на VirusTotal антивирусами. На момент исследования NetWire распознало только одно решение, а Mokes ни у кого не вызвал подозрений. Однако это не значит, что зловреды неуловимы для защитных продуктов.
NetWire и Mokes попадают на устройства через эксплойты к двум пропатченным на прошлой неделе уязвимостям в браузере Firefox — CVE-2019-11707 и CVE-2019-11708. Первый баг вызван путаницей типов данных и позволяет захватить контроль над системой. Вторая уязвимость дает злоумышленникам возможность сбежать из песочницы. Эксплойты предположительно распространяются с помощью вредоносных писем.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |