Новости Пользователи macOS, будьте настороже: неизвестный троян распространяется через PDF-файлы

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Группировка BlueNoroff придумала способ заражения финансовых организаций и инвесторов.


p35jhk6nl86wy2bytxq1unfw2sgikqw0.jpg


Лаборатория Касперского Для просмотра ссылки Войди или Зарегистрируйся новый вариант вредоносного загрузчика для macOS , предположительно связанный с APT -группировкой BlueNoroff и ее кампанией RustBucket. Группа нацелена на финансовые организации и пользователей, связанных с криптовалютами.

Загрузчик маскировался под PDF -файл в ZIP-архиве, созданный 21 октября 2023 года. На момент обнаружения загрузчик имел легитимную подпись, однако сейчас сертификат уже отозван. Как именно распространялся архив, неизвестно. Возможно, злоумышленники рассылали его жертвам по почте, как и в прошлые свои кампании.

Исполняемый файл, написанный на Swift и названный EdoneViewer, содержал версии для процессоров Intel и Apple Silicon, а вредоносная нагрузка зашифрована с помощью XOR-шифрования.


y34grt19y7c5s46bhb93kbvv5vsu29q3.png


Вредоносная PDF-приманка

Загрузчик выполнял сценарий AppleScript, скачивающий безобидный PDF-файл для отвлечения пользователя и делающий POST-запрос для загрузки троянца (.pw) с сервера управления и контроля (Command and Control, C2 ), зарегистрированном 20 октября. Троянец собирал и отправлял с интервалом в минуту следующую информацию о системе:

  • имя компьютера;
  • версию операционной системы;
  • часовой пояс устройства;
  • дату запуска устройства;
  • дату установки операционной системы;
  • текущее время;
  • список выполняющихся в системе процессов.

В ответ троян ожидал команды от сервера на сохранение данных, самоудаление или продолжение ожидания. К сожалению, на момент проведения анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не представилось возможным.

RustBucket представляет собой инструментарий, разработанный северокорейским субъектом угрозы, известным под псевдонимом BlueNoroff. Это только одна из множества киберопераций, отслеживаемых в рамках деятельности элитной хакерской группы Lazarus Group. Lazarus Group, в свою очередь, находится под контролем Главного разведывательного управления (RGB) Северной Кореи, являющегося ключевым разведывательным органом этой страны.

Ранее Для просмотра ссылки Войди или Зарегистрируйся , что вредоносная программа, скомпилированная на Swift, предназначена для загрузки с C2-сервера основной вредоносной программы, двоичного файла на основе Rust с функциями сбора обширной информации, а также получения и запуска дополнительных двоичных файлов Mach-O или оболочек на скомпрометированной системе.
 
Источник новости
www.securitylab.ru

Похожие темы