Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Неизвестный троян распространяется по системам macOS через PDF-файлы

07/12/23

Apple5

Лаборатория Касперского обнаружила новый вариант вредоносного загрузчика для macOS, предположительно связанный с APT-группировкой BlueNoroff и ее кампанией RustBucket. Группа нацелена на финансовые организации и пользователей, связанных с криптовалютами.

Загрузчик маскировался под PDF-файл в ZIP-архиве, созданный 21 октября 2023 года. На момент обнаружения загрузчик имел легитимную подпись, однако сейчас сертификат уже отозван. Как именно распространялся архив, неизвестно. Возможно, злоумышленники рассылали его жертвам по почте, как и в прошлые свои кампании.

Исполняемый файл, написанный на Swift и названный EdoneViewer, содержал версии для процессоров Intel и Apple Silicon, а вредоносная нагрузка зашифрована с помощью XOR-шифрования.

y34grt19y7c5s46bhb93kbvv5vsu29q3

Загрузчик выполнял сценарий AppleScript, скачивающий безобидный PDF-файл для отвлечения пользователя и делающий POST-запрос для загрузки троянца (.pw) с сервера управления и контроля (Command and Control, C2), зарегистрированном 20 октября. Троянец собирал и отправлял с интервалом в минуту следующую информацию о системе:

  • имя компьютера;
  • версию операционной системы;
  • часовой пояс устройства;
  • дату запуска устройства;
  • дату установки операционной системы;
  • текущее время;
  • список выполняющихся в системе процессов.

В ответ троян ожидал команды от сервера на сохранение данных, самоудаление или продолжение ожидания. К сожалению, на момент проведения анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не представилось возможным.

RustBucket представляет собой инструментарий, разработанный северокорейским субъектом угрозы, известным под псевдонимом BlueNoroff. Это только одна из множества киберопераций, отслеживаемых в рамках деятельности элитной хакерской группы Lazarus Group. Lazarus Group, в свою очередь, находится под контролем Главного разведывательного управления (RGB) Северной Кореи, являющегося ключевым разведывательным органом этой страны.

Ранее сообщалось , что вредоносная программа, скомпилированная на Swift, предназначена для загрузки с C2-сервера основной вредоносной программы, двоичного файла на основе Rust с функциями сбора обширной информации, а также получения и запуска дополнительных двоичных файлов Mach-O или оболочек на скомпрометированной системе.

Темы:УгрозытрояныЛКmacOSPDF
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...