macOS-вредонос ReaderUpdate теперь распространяется на Go, Rust, Nim

Специалисты предупреждают о трансформации вредоносного загрузчика ReaderUpdate, предназначенного для атак на macOS. Изначально это был скомпилированный Python-бинарник, однако теперь авторы используют Go, Rust, Nim и Crystal.

ReaderUpdate применяется операторами для установки рекламного софта Genieo (также Dolittle и MaxOfferDeal). Несмотря на смену языков разработки, функциональность вредоноса остаётся прежней, подчёркивают эксперты.

С середины 2024 года появились новые командные серверы (C2), связанные с вариантами на Crystal, Nim и Rust, а совсем недавно была обнаружена версия на Go.

Как и предыдущие образцы, новый семпл распространяется через вредоносные установщики, замаскированные под полезные утилиты, а также через сторонние сайты загрузки софта. Все варианты ReaderUpdate нацелены исключительно на устройства с архитектурой Intel x86.

Анализ Go-варианта показал, что при запуске он собирает информацию о «железе» устройства, формирует уникальный идентификатор и отправляет его на C2. Кроме того, программа может анализировать и выполнять команды, полученные от C2, что делает загрузчик потенциально опасным в случае замены полезной нагрузки на более вредоносную.

«На данный момент ReaderUpdate используется лишь для доставки рекламных программ, тем не менее архитектура позволяет легко заменить пейлоад, что делает его потенциальной платформой для формата "вредонос как услуга"», — отмечают в SentinelOne.

Компания выявила девять образцов ReaderUpdate на Go, взаимодействующих с семью различными C2-доменами. Однако этот вариант пока встречается значительно реже, чем Nim, Crystal и Rust, образцы которых насчитывают сотни экземпляров.