Распространяемый через поисковую выдачу фейк iTerm2 крадет пароли с macOS

Распространяемый через поисковую выдачу фейк iTerm2 крадет пароли с macOS

Распространяемый через поисковую выдачу фейк iTerm2 крадет пароли с macOS

Обнаружен новый троян для macOS, способный воровать информацию и, возможно, открывать бэкдор. Зловред, замаскированный под iTerm2 (бесплатный аналог утилиты «Терминал»)  распространяется через спонсорские ссылки в результатах поисковой выдачи.

Новобранец, которого ИБ-эксперт Патрик Уордл (Patrick Wardle) назвал ZuRu, впервые всплыл на прошлой неделе в Китае. Вредонос раздавался с сайта-клона официального iTerm2.com, появлявшегося в топе поисковой выдачи Baidu на правах рекламы.

Анализ показал, что предложенный для скачивания образ диска содержит приложение с именем iTerm, подписанное сертификатом разработчика. Дополнительный знак безопасности, удостоверяющий принадлежность держателя к сообществу разработчиков Apple, при этом отсутствует. Тем не менее, при установке поддельный пакет с успехом проходит проверки Gatekeeper и способен ввести в заблуждение большинство коммерческих антивирусов (на настоящий момент его детектируют 15 сканеров из 57 на VirusTotal).

Обосновавшись в системе, зловред связывается со своим сервером и загружает с указанного адреса Python-скрипт, а также исполняемый файл с именем GoogleUpdate. Первый собирает и отправляет хозяину информацию о зараженной системе, а также пароли и учетки из хранилища Keychain.

Выявить назначение поддельного апдейтера пока не удалось. Установлено лишь, что при запуске он пытается подключиться к серверу, содержащему пиратскую копию Cobalt Strike — тулкита, популярного у специалистов по пентесту. Вполне возможно, что фейковый GoogleUpdate на самом деле является маячком из этого набора инструментов; его установка позволяет получить скрытый доступ к системе.

Фальшивый сертификат разработчика Apple уже отозвала. Двойник сайта iTerm2 в другой TLD-зоне заблокирован, Baidu удалил соответствующие привязки из своей выдачи. Однако злоумышленники спокойно могут откочевать в другие страны, создав другое вредоносное macOS-приложение, новый сайт и купив еще одну лицензию разработчика за $99.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Т-банк вернулся в App Store как Freelance Case, время жизни — часы

Приложение Т-банка для iPhone и iPad вновь доступно в App Store, на сей раз под именем Freelance Case. Пользователей призывают скачать его незамедлительно: из-за санкций Apple может удалить прогу в любой момент.

В телеграм-канале и на сайте банка сказано, что это новейшая версия официального приложения, более быстрая, безопасная, с улучшенной функциональностью.

В магазине Apple бесплатный софт Freelance Case позиционируется как помощник фрилансеров в организации проектных работ и в управлении финансами. По состоянию на 12:00 Мск 18 апреля приложение все еще доступно для скачивания в App Store.

 

После того как США включили Т-банк в санкционный список, его приложения исчезли из AppStore и Google Play. Теперь они изредка возвращаются туда под другими именами, однако их исправно отслеживают и удаляют в считанные дни и даже часы.

Отсутствие подсанкционных банков в официальных магазинах мобильных приложений привело к появлению потенциально опасных клонов, которые мошенникам иногда удается протащить в AppStore и Google Play. Банки обычно предупреждают россиян о фальшивках, а для владельцев iPhone организовали службу помощи в установке обновлений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru