Nulaužtose „macOS“ skirtose aplikacijose slepiasi naujos kenkėjiškos programos. Tai dar viena priežastis, kodėl neturėtumėte siųstis nulaužtos ar piratinės programinės įrangos į savo „Mac“ kompiuterius – neretai tokioje programinėje įrangoje slepiasi kenkėjiškos programos. Tai galima suprasti. Neretai tie, kad „nulaužia“ mokamas aplikacijas padarydami jas prieinamas nemokamai plačiai auditorijai, turi savo tikslų.
Kibernetinio saugumo tyrinėtojai iš „Kaspersky“ perspėja apie naują kenkėjišką programą, sukurtą „Apple“ ekosistemai, platinamą svetainėse, kuriose teigiama, kad jos siūlo nulaužtas programas (pvz. per tornetus).
Aukos atsisiunčia PKG failą, manydamos, kad gauna nulaužtos programėlės, kurią anksčiau atsisiuntė, aktyvatorių ir patalpina atsisiųstą PKG failą į aplanką /Applications/ kaip dalį nurodymų, kaip „aktyvinti“ nulaužtą programinės įrangos dalį.
Kenkėjiška programa vėl užpuolė macOS
Iš pažiūros kenkėjiška programa veikia taip, kaip „numatyta“ – auka gaus netikrą „Activator“ langą, kuriame bus prašoma administratoriaus slaptažodžio. Žinoma, kenkėjiška programa susisiekia su savo komandų ir valdymo (C2) serveriu ir gauna scenarijų, galintį paleisti savavališkas komandas tiksliniame galutiniame taške.
Įdomus dalykas, susijęs su šia kenkėjiška programa, yra tai, kaip ji susisiekia su C2 serverio svetaine, apgaulingai pavadinta „apple-health[.]org“, kad gautų „base64“ koduotą Python scenarijų – ji ištraukia žodžius iš dviejų užkoduotų sąrašų ir kaip trečiojo lygio domeno pavadinimą prideda atsitiktinę penkių raidžių seką. Tokiu būdu kenkėjiška veikla yra paslėpta įprastame sraute.
„Naudodamas šį URL adresą, kodas pateikė užklausą DNS serveriui, siekdamas gauti domeno TXT įrašą“, – paaiškino Kaspersky.
Atsakyme iš DNS serverio buvo trys TXT įrašai, kurių kiekvienas yra „base64“ koduotas AES užšifruoto pranešimo, kuriame yra „Python“ scenarijus, fragmentas.
„Tool“ vykdomasis failas taip pat modifikuoja „/Library/LaunchAgents/launched..plist“, kad užtikrintų scenarijaus išlikimą tarp sistemos perkrovimų.
Galutinė naudingoji apkrova suteikia užpuolikams visų rūšių pranašumų, pradedant prieiga prie „galinių durų“ (backdoor), baigiant informacija apie pažeistą sistemą ir kt. Be kita ko, kenkėjiška programa ieškos „Bitcoin Core“ ir „Exodus“ piniginių pažeistuose įrenginiuose ir, jei jas ras, pakeis jas kopijomis su galinėmis durimis. Kai auka vėl bandys prisijungti prie savo piniginės, lėšos gali išnykti beveik akimirksniu.
„Kaspersky“ taip pat teigė, kad tiriant kenkėjišką programą C2 grįžo su atnaujinta „backdoor“ scenarijaus versija, o tai rodo nuolatinį šios kenkėjiškos programinės įrangos tobulėjimą. Tačiau komandų vykdymas dar nepasiekiamas, sakė „Kaspersky“, teigdamas, kad kenkėjiška programa vis dar vystoma.
