Компьютеры Mac атакует вредонос, невидимый для большинства антивирусов

Спустя четыре месяца после раскрытия информации о загадочной киберпреступной группировке, атакующей пользователей Мас в странах Ближнего Востока с целью шпионажа, используемое ею вредоносное ПО по-прежнему не детектируется большинством антивирусных продуктов. Речь идет о группировке Windshift, деятельность которой была описана специалистом компании DarkMatter Тахой Каримом (Taha Karim) в августе текущего года.

Windshift отличается от остальных АРТ-групп рядом особенностей. Во-первых, группировка практически не применяет вредоносное ПО, используя ссылки в фишинговых письмах и SMS-сообщения для отслеживания местоположения, интернет-привычек и других характеристик жертв. Во-вторых, в чрезвычайно редких случаях, когда киберпреступники все же устанавливают вредонос для кражи документов и снимков экрана на компьютеры пользователей, они используют новую технику обхода защиты macOS.

На минувшей неделе известный специалист в области безопасности Мас Патрик Уордл (Patrick Wardle) опубликовал результаты анализа файла Meeting_Agenda.zip, используемого Windshift для установки редких macOS-вредоносов (OSX.WindTail.A, OSX.WindTail.B и OSX.WindTape). К удивлению эксперта, результаты VirusTotal показали, что только два антивируса расценивают данный файл как вредоносный. Дальнейший поиск на VirusTotal выявил еще четыре связанных Meeting_Agenda.zip файла, причем три из них не детектировались ни одним из антивирусов, а четвертый только двумя.

Примечательно, что к моменту исследования Apple уже отозвала цифровой сертификат, используемый вирусописателями для подписи вредоносной программы. То есть, компании было известно о вредоносном ПО, но по каким-то причинам техногигант не поделился данными с производителями антивирусов.