Российские хакеры создали троян нового поколения, который распространяется на Mac под видом Adobe Flash

Российские кибершпионы разработали новое поколение троянов для Windows и Mac с целым набором инновационных техник, сообщают эксперты исследовательских компаний Fox-IT и Palo Alto Networks. В частности, они получили API, позволяющий хакерам в случае необходимости изменять направление трафика между ним и C&C-сервером.

Зловред разработан с помощью программной платформы .NET Framework и представлен в трех вариантах – для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake.

На платформе macOS троян распространяется путем рассылки архива Adobe Flash Player.app.zip. В нем содержится инфицированный вариант Adobe Flash Player: если пользователь установит его на компьютер, то в системе, помимо вполне себе рабочего плагина, появится вредоносный бэкдор, который использует службу LaunchDaemon для автоматической загрузки.

Эксперты считают, что «вредонос» разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data.

Специалисты Fox-IT, обнаружившие вредоносное приложение, рекомендуют просканировать Mac с помощью утилиты Malwarebytes. Вручную проверить наличие «вредоноса» можно по следующим путям:

  • /Library/Scripts/queue
  • /Library/Scripts/installdp
  • /Library/Scripts/installd.sh
  • /Library/LaunchDaemons/com.adobe.update.plist
  • /var/tmp/.ur-*
  • /tmp/.gdm-socket
  • /tmp/.gdm-selinux

Как и большинство других троянов, Snake обращается за командами к командному серверу по вшитому адресу. В основном получаемые вредоносом команды такие же, как и у остальных троянов, однако одна из них отличается.

Команда remote запускает веб-сервер на зараженном хосте, предоставляя API для удаленных соединений. Другими словами, Snake, как и Kazuar способен изменять привычный поток подключения к C&C-серверу. Вместо того, чтобы инфицированный хост пинговал сервер для новых команд, атакующий может когда угодно пинговать систему жертвы и отправлять вредоносу инструкции.

Данный подход имеет два больших преимущества. Во-первых, атакующий по желанию может мигрировать на другой C&C-сервер, а во-вторых, таким образом Snake способен обходить некоторые решения безопасности. Использовался ли вредонос в реальных атаках, пока неизвестно.

Источник: MacDigger.ru

19 комментариев

  • ИванЧай 2 года назад
    0
    То чувство, когда Касперский Женя перешел на мак
  • Касперский, астанавись!
  • Уже не интересно читать мак диггер, вчера посидел за маком новым и все какое то примитивное показалось, как то очень скучно, все так понятно в этом маке, что даже уже новости про эпл не интересно читать скука
    • Ставь виндус 98. Столько перечитать придется)
    • Очень скучно. Настроек почти нет, да и те в одном месте доступны. Все идеально работает сразу из коробки. Ковыряться в реестре и лезть в групповые политики не нужно. Короче говоря, система для работы.
  • Опять статья про дураков которые пароль учетной записи на все подрыт набирают :)
  • Яблобот 2 года назад
    0
    Вот поэтому я пользуюсь виндоуз
  • Флэша? Ахахахха, да его уже на Windows то не используют. Опять вирус из разряда- установить от прав администратора с вводом пароля XDXD
  • На маке флеш ни один здоровый человек использовать не будет. Заразятся только с тотал командером на маке, которые на любой платформе найдут вирусы.
  • Michel Loinik 2 года назад
    0
    Кто-то ещё пользуется Adobe Flash Player? Он разве не сдох окончательно?
  • Эндурий 2 года назад
    0
    Лучше бы джейлбрейк создали
  • Ощущение, что М.Д писал статью с чувством удовлетворения и гордости, за наших хаккеров, как никак освоили новые технологии. ☝
  • AndroidКончаловс 2 года назад
    0
    А мы всё лепим из
  • Кококо...на айос нет вирусов, кококо...
  • darkravenlady 2 года назад
    0
    Ну конечно может тогда перед тем как закачать что-то с не известного сайта, стоит ещё раз крепко подумать.