По словам экспертов Bitdefender, новый вариант был выявлен в процессе изучения старых и новых образцов вредоносного ПО для macOS с целью совершенствования возможностей обнаружения подобных угроз.
Подозрения вызвали несколько небольших по размеру (1,3 Мб) образов диска для macOS. Детальный анализ показал сходство нового варианта с RustDoor. Оба варианта предназначены для сбора конфиденциальных файлов с зараженных компьютеров, причем текущий является более продвинутой версией скрипта RustDoor, пишет Securitylab.
У новой версии есть дополнительные функции. Она собирает файлы Cookies.binarycookies с куки браузера Safari, файлы с определенных расширений из конкретных местоположений и использует утилиту system_profiler для получения данных о системе.
Таким образом злоумышленники получают информацию о технических характеристиках компьютера, версиях ОС, подключенных мониторах и видеокартах. В архив добавляются пароли, ключи шифрования, сертификаты, что свидетельствует о растущем интересе к криптоплатформам.
В этой версии нестандартным способом объединяются Python и Apple Scripting - файл grabber() выполняет большой блок Apple Script с помощью команды osascript -e. В DMG-файлах содержатся исполняемые модули для Intel и ARM, которые используются для кражи данных.
При открытии приложение Crack Installer предлагает пользователю распаковать файл. Скрипт Python собирает конфиденциальные данные из разных источников, включая криптокошельки, браузеры, учетные записи.
Собранные данные сохраняются в ZIP-архив и отправляются на C2-сервер посредством POST-запроса. Структура архива подтверждается сервером.
На данный момент новый вариант практически не обнаруживается антивирусами. Bitdefender опубликовала индикаторы компрометации для выявления и нейтрализации этой киберугрозы.