Приложение, отслеживающее курсы криптовалют, разработанное для компьютеров под управлением macOS, втайне от пользователя внедряло в систему два бэкдора. К такому выводу пришли ИБ-специалисты Malwarebytes после изучения программы CoinTicker, о которой сообщил один из участников форума на сайте компании.

Согласно описанию, программа предназначена для отслеживания курсов цифровых валют — приложение действительно размещает в строке меню иконку, показывающую стоимость выбранных токенов. Однако возможности утилиты шире заявленных: как выяснили исследователи, попав на компьютер, она загружала с аккаунта злоумышленников на GitHub два вредоносных скрипта, предназначенных для удаленного управления устройством.

Киберпреступники доработали для своих целей RAT-инструменты EggShell и EvilOSX, которые можно скачать со страниц их авторов в репозитории GitHub. По словам создателей, программы позволяют похищать широкий спектр сведений с зараженного компьютера. Так, EggShell способен повышать привилегии взломщика и выполнять в macOS ряд команд, включая копирование и загрузку файлов, управление клавиатурой и запись со встроенного микрофона. Код программы обфусцирован, чтобы затруднить ее обнаружение антивирусными сканерами, а сам зловред прописывается в автозапуске.

EvilOSX дает возможность добывать пароли и историю посещений из браузеров, делать снимки экрана и получать изображения с веб-камеры, а также открывать фальшивые окна для кражи паролей iCloud.

По мнению Лоуренса Абрамса (Lawrence Abrams), эксперта издания Bleeping Computer, утилиту не взламывали, а создали специально для распространения вредоносных скриптов. Ему кажется подозрительным веб-сайт приложения, который не содержит информации о приложении. В то же время других ИБ-специалистов настораживает ошибка в имени домена, где размещен CoinTicker.

Специалистам еще предстоит выяснить, какую цель преследуют киберпреступники, но маскировка вредоносного ПО под приложение, связанное с криптовалютами, позволяет предположить, что целью атакующих являются цифровые кошельки.

Один из способов добавления вредоносных скриптов в легитимные программы — покупка приложений, оставленных авторами. В декабре прошлого года стало известно о трех плагинах для WordPress, в которых появились бэкдоры после смены владельца. Тогда около 90 тыс. администраторов сайтов установили на свои ресурсы расширения, внедряющие спам-ссылки в содержание страниц.

Категории: Вредоносные программы, Главное