Исследователи из компании Malwarebytes выявили новый зловред, атакующий устройства под управлением macOS. Троян LamePyre маскируется под приложение Discord, но даже не пытается имитировать работу оригинала. При этом его деструктивные функции ограничиваются установкой бэкдора и отправкой на командный сервер снимков экрана. Специалисты считают, что LamePyre находится в стадии разработки, и указывают на возможную связь свежего штамма с другими вредоносами для macOS.

Загрузчик трояна — это Automator-скрипт, который распаковывает и выполняет три Python-сценария. Один из них — клиент opensource-бэкдора EmPyre, доступный для скачивания на GitHub. Второй модуль отвечает за периодическое создание скриншотов и отправку их злоумышленникам, а третий инициирует процесс com.apple.systemkeeper.plist, обеспечивающий запуск трояна в случае перезагрузки устройства.

Исследователи указывают, что программа не скрывает своего присутствия: как и любой скрипт, выполняемый в среде Automator, LamePyre отображается в меню статуса.

Похожие методы использует для атаки зловред DarthMiner, о котором стало известно на этой неделе. Он, как и LamePyre, написан на Python и разворачивает на инфицированном компьютере бэкдор EmPyre. Троян маскируется под пиратскую программу Adobe Zii, однако, в отличие от нового штамма, действительно устанавливает один из ее вариантов. DarthMiner внедряет на целевую систему майнер, но помимо этого может развернуть утилиту для перехвата трафика.

В декабре также объявился еще один зловред для macOS — OSX.BadWord, доставляемый на компьютер через документы Word с вредоносным макросом. При запуске он пытается эксплуатировать одну из известных уязвимостей, позволяющую совершить побег из песочницы, выполнить Python-сценарий и развернуть на устройстве opensource-бэкдор Meterpreter.

Исследователи отмечают, что, несмотря на схожесть инструментов и методов, пока рано делать выводы о связи трех кибератак. Все обнаруженные зловреды имеют похожий, но разный исходный код, а IP-адреса их командных серверов отличаются и указывают на хосты, расположенные в разных странах.

Категории: Аналитика, Вредоносные программы