Злоумышленники выбрали неожиданный способ доставки вредоносного кода.
Специалисты «Лаборатории Касперского» выявили новую угрозу для пользователей macOS в Китае: вредоносное ПО HZ RAT, которое ранее было известно только в версии для Microsoft Windows. Троянец распространяется через популярные китайские мессенджеры, такие как DingTalk и WeChat, и представляет собой серьёзную угрозу для безопасности данных.
Исследователь Сергей Пузан отметил, что функциональность HZ RAT на macOS почти полностью повторяет версию для Windows, с разницей лишь в способе доставки вредоносного кода. Вредоносное ПО получает инструкции от C2-сервера, которые включают выполнение команд PowerShell, запись и отправку файлов, а также сбор данных о системе.
HZ RAT впервые был задокументирован немецкой компанией DCSO в ноябре 2022 года. Тогда вредонос распространялся через самораспаковывающиеся архивы или вредоносные RTF-документы, созданные с помощью инструмента Royal Road RTF. Злоумышленники использовали уязвимость в Microsoft Office ( CVE-2017-11882 ), чтобы установить вредонос на устройства жертв.
Другой метод распространения HZ RAT маскируется под установку легитимного ПО, такого как OpenVPN или PuTTYgen. В этом случае, наряду с установкой программы, запускается вредоносный скрипт на Visual Basic, который и активирует HZ RAT.
Основная цель HZ RAT заключается в сборе данных о пользователях, таких как учётные данные и информация о системе. Вредоносное ПО способно получить данные из мессенджеров, включая WeChat ID, электронную почту и номера телефонов. Особенно интересен злоумышленникам доступ к корпоративной информации через DingTalk.
Последний образец HZ RAT был загружен в VirusTotal в июле 2023 года. Этот вариант маскируется под установочный пакет OpenVPN и, как и его Windows-аналог, выполняет четыре базовые команды: запуск системных команд, запись и отправка файлов на сервер, а также проверка доступности жертвы.
Инфраструктура атаки включает C2-серверы, расположенные преимущественно в Китае, за исключением двух серверов в США и Нидерландах. Дополнительный анализ показал, что заражённый ZIP-архив, содержащий установочный пакет для macOS, был загружен с домена, принадлежащего китайскому разработчику видеоигр miHoYo, известному по играм Genshin Impact и Honkai: Star Rail.
Пока неясно, как именно файл попал на этот домен и была ли скомпрометирована серверная инфраструктура. Несмотря на это, продолжающаяся активность HZ RAT спустя годы с момента его обнаружения свидетельствует о некотором успехе злоумышленников.
По словам Сергея Пузана, версия HZ RAT для macOS показывает, что киберпреступники, стоящие за предыдущими атаками, остаются активными и продолжают свои попытки собрать данные пользователей, с возможностью дальнейшего распространения по сети жертвы.
5778 К? Пф! У нас градус знаний зашкаливает!