Вредоносное приложение Stockfoli маскируется под легитимную биржевую программу для macOS и похищает данные пользователей. Об этом сообщили ИБ-специалисты, изучившие два варианта зловреда GMERA, задействованные в кибератаках.

Исследователи обратили внимание на подозрительный shell-скрипт, выявленный антивирусным сканером. Программа не детектировалась как вредоносная, поскольку обращалась к внешним файлам с легитимными расширениями.

Повергнутый анализу образец представлял собой ZIP-архив, содержавший приложение Stockfoli.app и скрытый зашифрованный файл .app. Установочный комплект, идентифицированный как Trojan.MacOS.GMERA.A, включал в себя измененную копию легитимного приложения для биржевой торговли Stockfolio, подписанную сертификатом безопасности автора зловреда. После запуска программы пользователь видел интерфейс биржевого клиента, в то время как троян в фоновом режиме выполнял два скрипта.

Сценарий plugin собирал с компьютера жертвы имя пользователя, IP-адрес, сохраненные снимки экрана и файлы в ряде папок, а также системную информацию. Эти данные кодировались по стандарту Base64 и отправлялись на сервер злоумышленников.

Часть функций GMERA пока не изучена

Скрипт stock создавал копию папки appcode из дистрибутива зловреда и пытался расшифровать файл .app, содержавшийся в первоначальном архиве. Исследователям не удалось восстановить этот объект, поскольку веб-ресурс, на котором хранится AES-ключ, был недоступен. ИБ-специалисты предполагают, что файл предназначен для доставки дополнительной полезной нагрузки или реализации иных вредоносных функций.

Выполнив поиск по сертификату, использованному для подписи вредоносной программы, аналитики обнаружили еще один ее штамм — Trojan.MacOS.GMERA.В. Образец, способный создавать обратный шелл и подключаться к C&C каждые 10 000 секунд, загрузили на портал VirusTotal в июне этого года.

По мнению экспертов, в данный момент GMERA находится в стадии разработки, и авторы зловреда тестируют различные функции, позволяющие оставаться на инфицированном компьютере в течение длительного времени.

Представители Apple сообщили, что сертификат разработчика, которым пользовались злоумышленники, отозвали в июле этого года.

Ранее стало известно о другом зловреде для macOS. Программа OSX/Linker использовала незакрытую уязвимость в утилите Gatekeeper, чтобы запускать сторонний код на зараженной машине. Киберпреступники пока только тестируют эксплуатацию бага, однако ИБ-специалисты считают, что если разработчики Apple не выпустят заплатку, то в скором времени следует ожидать выхода полноценного зловреда.

Категории: Аналитика, Вредоносные программы