07.12.2023 | Пользователи macOS, будьте настороже: неизвестный троян распространяется через PDF-файлы |
Лаборатория Касперского обнаружила новый вариант вредоносного загрузчика для macOS , предположительно связанный с APT -группировкой BlueNoroff и ее кампанией RustBucket. Группа нацелена на финансовые организации и пользователей, связанных с криптовалютами. Загрузчик маскировался под PDF -файл в ZIP-архиве, созданный 21 октября 2023 года. На момент обнаружения загрузчик имел легитимную подпись, однако сейчас сертификат уже отозван. Как именно распространялся архив, неизвестно. Возможно, злоумышленники рассылали его жертвам по почте, как и в прошлые свои кампании. Исполняемый файл, написанный на Swift и названный EdoneViewer, содержал версии для процессоров Intel и Apple Silicon, а вредоносная нагрузка зашифрована с помощью XOR-шифрования.
Вредоносная PDF-приманка Загрузчик выполнял сценарий AppleScript, скачивающий безобидный PDF-файл для отвлечения пользователя и делающий POST-запрос для загрузки троянца (.pw) с сервера управления и контроля (Command and Control, C2 ), зарегистрированном 20 октября. Троянец собирал и отправлял с интервалом в минуту следующую информацию о системе:
В ответ троян ожидал команды от сервера на сохранение данных, самоудаление или продолжение ожидания. К сожалению, на момент проведения анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не представилось возможным. RustBucket представляет собой инструментарий, разработанный северокорейским субъектом угрозы, известным под псевдонимом BlueNoroff. Это только одна из множества киберопераций, отслеживаемых в рамках деятельности элитной хакерской группы Lazarus Group. Lazarus Group, в свою очередь, находится под контролем Главного разведывательного управления (RGB) Северной Кореи, являющегося ключевым разведывательным органом этой страны. Ранее сообщалось , что вредоносная программа, скомпилированная на Swift, предназначена для загрузки с C2-сервера основной вредоносной программы, двоичного файла на основе Rust с функциями сбора обширной информации, а также получения и запуска дополнительных двоичных файлов Mach-O или оболочек на скомпрометированной системе. |
Проверить безопасность сайта