Архив новостей

Злоумышленники совершенствуют Bitcoin-майнер для Mac OS

Эксперты F-Secure обнаружили новую версию OSX-троянца, который использует вычислительные мощности зараженного компьютера для генерации биткойнов в пользу своих хозяев.

Первоначальный вариант зловредного майнера для Mac OS, известный как DevilRobber (в классификации ЛК Backdoor.OSX.Miner), объявился на торрент-трекерах в конце октября. Его компоненты скачали несколько пользователей The Pirate Bay в комплекте с копиями популярных легальных программ. DevilRobber обладает функционалом бэкдора, осуществляет сбор информации на зараженной машине и отправляет ее на удаленный ftp-сервер злоумышленника. При запуске троянец проверяет наличие Little Snitch (файервола) и производит установку лишь при его отсутствии. Он создает точку запуска ~/Library/LaunchAgents/com.apple.legion.plist и прописывается в домашней папке как ~/Library/mdsa1331.

Основным назначением DevilRobber является обеспечение процесса «чеканки» виртуальных монет на зараженном ПК. Его присутствие в системе выдает заметное увеличение нагрузки на графическую карту и ЦП. Зловред также делает скриншоты, копирует файлы Keychain, содержимое журнала Safari, историю введенных команд и опустошает электронный кошелек Bitcoin, если таковой имеется у пользователя. Он устанавливает прокси-сервер на одном из портов и прослушивает порт 34123 для получения команд с удаленного сервера.

Версия 3 этого троянца, которую проанализировали в F-Secure, тоже выдает себя за легальную программу, но прописывается в зараженной системе под другим именем ― PixelMator ― и распространяется с помощью даунлоудера. Инсталлятор бэкдора подгружается с удаленного ftp-сервера в результате активации DevilRobberV3 и сохраняется в памяти как binary.zip. Чтобы отыскать вредоносный комплект bin.cop в файлообменной сети, даунлоудер генерирует 3 URL с жестко прописанным в коде именем пользователя и паролем. По свидетельству экспертов, обновленного троянца уже не интересуют LittleSnitch и скриншоты. Он создает точку запуска под новым именем ― ~/Library/LaunchAgents/com.apple.pixel.plist, крадет историю команд, системные логи и данные из бесплатной утилиты управления паролями 1Password, а также содержимое Bitcoin-кошелька.

Злоумышленники совершенствуют Bitcoin-майнер для Mac OS

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике