Security Week 2405: криптостилер для Mac OS

Security Week 2405: криптостилер для Mac OS
На прошлой неделе исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносной программы для компьютеров Apple. Это свежее семейство распространяется вместе с пиратскими дистрибутивами популярных программ и, помимо прочего, крадет криптокошельки жертв. Проанализированный экспертами сэмпл запускается на свежих версиях Mac OS от 13.6 и выше, поддерживает компьютеры как на базе процессоров Intel, так и на Apple Silicon. Окно установщика загруженной пиратской версии программы выглядит так:


Пользователю предлагают установить дистрибутив программы, которая ему необходима, в данном случае это приложение Xscope . Также предлагается инсталлировать некий «Активатор», который взломает приложение. Первая особенность такого вредоносного набора: в комплекте поставляется уже взломанная версия легитимного ПО, которая работала бы без всяких активаторов. Однако в начале исполняемого файла дописаны 16 байт мусорных данных, и это делает его неработоспособным. Все, что делает «Активатор», — удаляет эти лишние 16 байт, делая возможным запуск приложения. К сожалению, на этом деятельность вредоносной программы не заканчивается.

С точки зрения пользователя, собравшегося сэкономить на покупке легального ПО, все выглядит достаточно логично. В инсталляторе устанавливается программа и некий «кряк» для нее. Далее «Активатор» запускается и требует пароль пользователя:


После ввода пароля и нажатия кнопки Patch «Активатор» восстанавливает работоспособность пиратской программы, записывает в папку tmp дистрибутив Python3, который необходим для дальнейшей работы, и запускает код для связи с командным сервером (C2). Связь с ним реализована достаточно необычным образом. Из набора строк, зашитых в коде, собирается URL, по которому запрашивается DNS-запись типа TXT. Данная запись содержит зашифрованный скрипт на языке Python, а он в свою очередь загружает и запускает следующую стадию вредоносного кода. Параллельно блокируются системные уведомления, а вредоносный скрипт прописывается в автозапуск. Исследователи, скорее всего, «поймали» разработчиков вредоносной программы прямо во время отладки: командный сервер отвечал с перебоями, а отдаваемый по запросу код менялся так, что это нельзя было списать только на работу какой-то автоматики, призванной, например, усложнить детектирование.

После установления связи с командным сервером тот может передать и выполнить на зараженном компьютере любые команды. На сервер злоумышленников также отправляется подробная информация о системе — листинг папок в директории Users, список установленных приложений, IP-адрес, тип процессора и так далее. В финальном вредоносном скрипте также была замечена возможность детектирования двух криптокошельков — Exodus и Bitcoin Core . При обнаружении приложения Exodus с командного сервера загружается его модифицированная версия, которая крадет данные для доступа к кошельку. Аналогичным образом происходит кража средств в биткоинах.

Это, естественно, не первый и не последний пример распространения вредоносного кода вместе с пиратским программным обеспечением. В прошлом году исследователи «Лаборатории Касперского» уже писали о похожей троянской программе для Mac OS. В ней также применялся метод, который затрудняет детектирование подозрительной активности путем анализа трафика, но немного другой. Вместо загрузки зашифрованных DNS-записей типа TXT применялся запрос типа DNS-over-HTTPS. Загрузка пиратского программного обеспечения из сомнительных источников по-прежнему чревата потерей данных и денег.

Что еще произошло

На прошлой неделе компания Apple выпустила обновление iOS до версии 17.3, которое, помимо прочего, закрывает три уязвимости в браузерном движке WebKit. Одна из них, CVE-2024-23222, имеет статус zero-day, то есть эксплуатировалась на момент обнаружения. Это первая уязвимость нулевого дня для мобильных устройств Apple, закрытая в 2024 году. Кроме того, данный апдейт включает крайне полезную фичу Stolen Device Protection . Она затрудняет «отвязывание» телефона от определенного Apple ID в случае кражи.

Утекли публичные данные о 15 миллионах учетных записей Trello — это результат не взлома, а эксплуатации недостаточно защищенного API. Аноним, позднее замеченный при попытке продать базу контактов на подпольном форуме, использовал фичу API, которая в ответ на адрес e-mail возвращает публичные данные о профиле пользователя. Слабые ограничения на количество запросов позволили «прогнать» через API 500 миллионов адресов, что и привело к созданию списка зарегистрированных в сервисе пользователей.

В сети выложены полученные в результате официального запроса архивные документы американских госорганов. В них обсуждалась игрушка Furby, которая имела огромную, хотя и кратковременную популярность в конце 90-х. Furby «разговаривали» на придуманном языке, в который со временем включались фразы на английском (или на другом языке, в зависимости от страны, где продавалась игрушка). Из-за этого сформировался устойчивый миф, что Furby подслушивают происходящее вокруг и обучаются на разговорах своих владельцев. Это не соответствовало истине, но привело (на всякий случай) к запрету игрушек в тех местах, где любые записывающие устройства запрещены, — например, в офисах американского Агентства национальной безопасности. В опубликованной переписке АНБ говорится о некоем «чипе искусственного интеллекта», установленном в Furby. Подобные опасения актуальны скорее четверть века спустя, когда микрофоны встроены вообще во все устройства от смартфонов до телевизоров, а обработка человеческой речи и обучение нейросетей на ее базе стали нормой.
macos
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь