Стали известны подробности о зловредах, которых киберпреступники пытались установить на macOS-компьютеры сотрудников криптобирж через две уязвимости нулевого дня в Firefox. Всего на данный момент обнаружено два бэкдора, задействованных в кампании. ИБ-исследователь Патрик Уордл (Patrick Wardle) изучил предоставленные ему образцы: они относятся к семействам NetWire и Mokes.

NetWire попадает на устройство в виде исполняемого файла Finder.app. Зловред написан не на Objective-C — по мнению экспертов, это признак того, что автор программы предпочитает работать с Windows или Linux.

После установки бэкдор закрепляется в системе сразу двумя способами. Во-первых, он создает агент загрузки, запускающий зловреда каждый раз, когда пользователь входит в систему. Во-вторых, он прописывается в автозагрузке. Уордл отмечает, что при этом фальшивый Finder отображается в списке автозагрузки, что сводит его скрытность на нет.

Оказавшись в системе, NetWire считывает (при наличии) или создает файл .settings.conf, содержащий идентификатор жертвы и отметку о времени заражения. После этого зловред пытается связаться с командным центром. Установить с ним контакт Уордлу не удалось: C&C-сервер на момент анализа был недоступен.

В случае успешного соединения NetWire ждет дальнейших указаний — в частности, зловред умеет:

  • Собирать информацию о зараженной системе, зашифровывать ее и отправлять на командный сервер.
  • Создавать, переименовывать и удалять файлы и папки.
  • Собирать информацию о запущенных процессах и останавливать их.
  • Выполнять произвольные команды оболочки.
  • Делать скриншоты.
  • Имитировать нажатия клавиш на клавиатуре и мыши.
  • Удалять себя и следы своего присутствия.

Бэкдор работает во многих версиях ОС для компьютеров Apple, включая довольно старые, например OS X 10.5 Leopard, вышедшую в 2007 году.

Образец Mokes, попавший в руки исследователя, устанавливает себя в одну из прописанных в его коде папок под одним из закодированных имен. Так, при первом запуске на виртуальной машине он создал в директории ~/Library/Dropbox файл quicklookd. При повторной установке бэкдор сгенерировал папку App Store/storeaccountd.

После запуска зловред пытается соединиться с командным сервером и закрепиться в системе при помощи агента загрузки.

Бэкдор располагает теми же возможностями, что и первая версия, обнаруженная экспертами «Лаборатории Касперского» в 2016 году. В частности, он умеет красть файлы, делать скриншоты, записывать аудио и видео, а также считывать нажатия клавиш.

Оба бэкдора плохо определяются представленными на VirusTotal антивирусами. На момент исследования NetWire распознало только одно решение, а Mokes ни у кого не вызвал подозрений. Однако это не значит, что зловреды неуловимы для защитных продуктов.

NetWire и Mokes попадают на устройства через эксплойты к двум пропатченным на прошлой неделе уязвимостям в браузере Firefox — CVE-2019-11707 и CVE-2019-11708. Первый баг вызван путаницей типов данных и позволяет захватить контроль над системой. Вторая уязвимость дает злоумышленникам возможность сбежать из песочницы. Эксплойты предположительно распространяются с помощью вредоносных писем.

Категории: Аналитика, Вредоносные программы