Исследователи Confiant опубликовали новые сведения об обнаруженной ранее кампании по распространению вредоносной программы-дроппера OSX/Shlayer. Как выяснили специалисты, с ее помощью злоумышленники заражают пользователей macOS трояном Tarmac и используют продвинутые методы, чтобы скрыть свою активность.

Вредоносная кампания Shlayer

Впервые о Shlayer стало известно в феврале 2018 года, когда эксперты обнаружили вредоносный код внутри magnet-ссылок на торрент-трекерах. Кликнувшие по ним пользователи macOS получали троян-дроппер Shlayer, замаскированный под обновление Adobe Flash Player и загружающий рекламное ПО.

В январе этого года Shlayer был обнаружен в ходе масштабной malvertising-кампании — он загружался на машины жертв после отработки JavaScript-кода, внедренного в рекламные баннеры. На тот момент было установлено, что Shlayer по-прежнему устанавливает на машины жертв adware-программы. По оценкам аналитиков, число жертв вредоносной кампании на тот момент приблизилось к миллиону, а рекламодатели ежедневно теряли от преступной активности более миллиона долларов.

Дальнейшее исследование показало, что преступники также используют распространяемый таким образом дроппер для доставки другой полезной нагрузки — неизвестного ранее зловреда OSX/Tarmac.

Собранные экспертами улики говорят о профессионализме организаторов Shlayer-кампаний. Ложное обновление Adobe Flash Player подписано действительным сертификатом Apple, что должно усыпить бдительность жертвы. В свою очередь, полезная нагрузка скачивается через команду curl в «Терминале», и файл разворачивается на машине, минуя встроенный карантин, а также проверки защитных систем Gatekeeper и XProtect. Более того, Shlayer таким образом получает возможность распаковать целевой вредоносный пакет с привилегиями администратора.

Чем грозит macOS-троян Tarmac

Эксперты получили устаревшие образцы Tarmac — управляющая инфраструктура, от которой зловред ожидает команд, уже отключена. Тем не менее аналитики изучили внутреннее устройство трояна и получили представление о его возможностях.

Создатели новой вредоносной программы максимально запутали код и вычистили из него большую часть информации, которую можно использовать в расследовании. Ключевые данные, включая наименования методов и классов, команды и сообщения об ошибках, оказались сжаты и зашифрованы. Собственный алгоритм на базе ассиметричной и симметричной криптографии защищает от взлома весь обмен данными с управляющим сервером.

Чтобы снизить шанс обнаружения, преступники старались использовать встроенные в macOS криптобиблиотеки и фреймворки. С этой же целью они не наделили Tarmac способностью закрепляться на зараженном компьютере.

Тем не менее аналитики выяснили, что зловред умеет загружать, распаковывать и запускать сторонние приложения. Что это за полезная нагрузка, пока неизвестно: поскольку управляющие серверы Tarmac сейчас недоступны, имеющиеся у экспертов образцы лишь отправляют на нерабочий адрес данные пораженной машины и уходят в режим ожидания.

Текущие атаки направлены против пользователей в Италии, США и Японии. По мнению экспертов, охота на итальянских пользователей, несвойственная киберпреступникам, может говорить о том, что злоумышленники нашли там уязвимую точку, которая открывает доступ к нужной цели.

Поскольку использованный преступниками метод позволяет обходить защиту macOS, аналитики рекомендуют пользователям этой системы проявлять особую осторожность при скачивании файлов из Интернета.

Категории: Аналитика, Вредоносные программы