Архив новостей

«Маковый» троянец маскируется под Flash Player

Список зловредов, заточенных под OS X, пополнился еще одним творением вирусописателей, копирующим трюки своих Windows-собратьев. Эксперты Intego, обнаружившие этого троянца, нарекли его Flashback ― от Flash Player, за который он себя выдает. Не исключено также, что «крестные отцы» просто хотели подчеркнуть тривиальность социально-инженерной уловки, которую использовали злоумышленники: один из вариантов перевода «flashback» ― «возвращение к прошлому».

Новый троянец, который в ЛК детектируется как Trojan-Downloader.OSX.Flashfake.a, пока однократно замечен itw ― его скачал из интернета один из легкомысленных поклонников Mac OS X. Всегда есть вероятность, что, обнаружив в Сети недоступный видеоролик, для активации которого предлагается обновить Flash Player, пользователь бездумно воспользуется ссылкой или иконкой, услужливо проставленной на зловредной странице. Если он при этом использует Safari с дефолтными настройками, троянский инсталлятор с безобидным расширением вроде .pkg или .mpkg будет запущен сразу после загрузки.

Для начала Flashback попытается отключить наличные средства мониторинга сетевой активности, в первую очередь Little Snitch. Затем он устанавливает динамический загрузчик dyld, а в домашнюю папку ― бэкдор (~/Library/Preferences/Preferences.dylib). Последний подключается к командному серверу и передает информацию о зараженной машине: версию OS X, архитектуру процессора (Intel или PowerPC) и т.п. В качестве опознавательного знака резидентный зловред использует хэшированный по MD5 идентификатор компьютера (UUID). Служебный трафик Flashback шифрует по алгоритму RC4.

По словам исследователей, в функционал нового бэкдора входит также загрузка других вредоносных файлов и проверка наличия обновлений. В последнем случае резидентный Flashback создает свой Sha1-хэш и периодически проверяет его на соответствие текущей версии, обращаясь к C&C-серверу. Если хэш-коды не совпадают, значит, настало время получить обновление.

«Маковый» троянец маскируется под Flash Player

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике