Взломанные приложения для macOS заносят бэкдор из DNS-записей
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Взломанные приложения для macOS заносят бэкдор из DNS-записей

Екатерина Быстрова 24 Января 2024 - 14:37
...
Взломанные приложения для macOS заносят бэкдор из DNS-записей

Злоумышленники используют незаметный способ доставки трояна для macOS на компьютеры пользователей: вредоносные скрипты прячутся в DNS-записях. О новой кампании рассказали эксперты «Лаборатории Касперского».

Как отметили специалисты, киберпреступники атакуют macOS Ventura и более поздние версии ОС. В качестве приманки используются взломанные приложения, перепакованные в PKG — именно в них содержится троян.

Пользователи думают, что скачали пиратский софт и выполняют инструкцию по его установке. Условный активатор приложения злоумышленники предлагают положить в директорию «Программы».

После размещения и запуска «активатора» появляется окно, в котором надо ввести пароль администратора компьютера:

 

Получив требуемые права, зловред запускает исполняемый файл Mach-O с функцией AuthorizationExecuteWithPrivileges, а затем проверяет наличие Python 3 в системе (если его нет, троян инсталлирует пакет).

Далее инфостилер связывается с командным сервером (C2), висящим по адресу apple-health[.]org, и достаёт оттуда зашифрованный base64 Python-скрипт. Последний может выполнять команды на компьютере жертвы.

В Kaspersky указали на интересный метод связи с C2: операторы macOS-трояна задействуют слова из двух жёстко заданных в коде списков и случайную последовательность из пяти букв.

«С этим URL вредонос отправляет запрос DNS-серверу и пытается получить TXT-запись для домена», — объясняют исследователи.

Благодаря этому способу злоумышленникам удаётся прятать вредоносную активность внутри трафика и скачивать пейлоад в виде Python-скрипта, замаскированного под TXT-записи. Другими словами, это выглядит как безопасный запрос.

 

Изначальный скрип выступает в качестве загрузчика другого Python-скрипта, открывающего для злоумышленника доступ к целевому компьютеру. Он собирает информацию о системе: версию ОС, список каталогов, установленные программы, тип процессора и внешний IP-адрес.

Вредонос также модифицирует /Library/LaunchAgents/launched.<uuid>.plist, чтобы запускаться после перезагрузок. «Лаборатория Касперского» подчёркивает признаки постоянной работы над функциональностью бэкдора.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

НКЦКИ переподписал соглашение с Positive Technologies
Яков Шпунт 09 Января 2025 - 19:19
Корпорации Защита критически важных объектов Positive Technologies
НКЦКИ переподписал соглашение с Positive Technologies

Positive Technologies и Национальный координационный центр по компьютерным инцидентам (НКЦКИ) подписали бессрочное соглашение о сотрудничестве в сфере обнаружения, предотвращения и ликвидации последствий компьютерных атак.

Это позволит субъектам критической информационной инфраструктуры (КИИ) продолжать передачу данных в центр ГосСОПКА Positive Technologies.

Согласно статистике, 44% успешных кибератак приходится на отрасли, относящиеся к КИИ, такие как государственное управление, медицина, промышленность, финансы, транспорт и телекоммуникации.

Законодательство обязывает компании в этих секторах создавать собственные центры ГосСОПКА либо обращаться к услугам корпоративных центров ГосСОПКА, аккредитованных НКЦКИ.

«Соглашение с НКЦКИ позволяет Positive Technologies участвовать в реализации мер защиты объектов КИИ в России, обеспечивать эффективную работу системы безопасности и поддерживать непрерывное взаимодействие с ГосСОПКА. Наша многолетняя экспертиза в обнаружении, реагировании и предотвращении атак позволяет выполнять весь комплекс задач по обеспечению безопасности КИИ РФ», — отметил управляющий директор Positive Technologies Алексей Новиков.

«Подписанное соглашение стало первым в серии последующих, так как регулятор обновил требования к обязанностям корпоративных центров ГосСОПКА, которые теперь фиксируются в новых соглашениях. Процесс их переподписания идет в соответствии с хронологией создания центров».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники бегут из Telegram
Новость
Мошенники бегут из Telegram
Опубликован PoC-код к уязвимости ksthunk.sys, которую MS считает закрытой
Новость
Опубликован PoC-код к уязвимости ksthunk.sys, которую MS счи...
Организатор Hydra получил пожизненный срок
Новость
Организатор Hydra получил пожизненный срок

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.