На VirusTotal нашли компоненты сложного тулкита для атаки на macOS

Екатерина Быстрова 20 Июня 2023 - 13:16

Домашние пользователи

...

Исследователи наткнулись на несколько составляющих профессионального тулкита, который разрабатывался для атак на пользователей macOS. Обнаружить вредонос помогли загруженные на VirusTotal семплы.

Находкой поделились специалисты румынской антивирусной компании Bitdefender. В отчёте исследователи пишут:

«В настоящий момент выявленные образцы не детектируются антивирусными движками. Более того, по ним в целом очень мало информации».

В общей сложности были найдены четыре семпла, загруженных на VirusTotal неназванной жертвой атаки. Самый ранний образец датируется 18 апреля 2023 года. Два образца представляют собой Python-бэкдоры, которые могут поражать не только macOS, но и Windows с Linux.

Специалисты дали пейлоадам общее имя — JokerSpy. Первая составная часть shared.dat при запуске проверяет, в какой операционной системе она работает. Для этого предусмотрены специальные коды: 0 — работаем в Windows, 1 — в macOS и 2 — в Linux. Далее shared.dat устанавливает соединение с удалённым сервером и получает от него дополнительные инструкции.

Пейлоад может собирать информацию, запускать команды, скачивать и выполнять файлы, а также завершать свой процесс. В систему macOS с командного центра скачивается определённый файл и помещается по следующему адресу — /Users/Shared/AppleAccount.tgz. После этого он запускается как приложение — /Users/Shared/TempUser/AppleAccountAssistant.app.

В Linux принцип работы тот же, отличаются только детали: записывается временной файл tmp.c, который компилируется в /tmp/.ICE-unix/git.

В Bitdefender выделили один интересный экземпляр среди семплов — «sh.py». Он обладает целым спектром возможностей: вытаскивать метаданные системы, составлять список файлов, удалять файлы, выполнять команды и извлекать зашифрованные данные.

Третий компонент — бинарник FAT с именем xcc. Он написан на Swift и предназначен для атаки macOS Monterey (версия 12 «яблочной» ОС). Этот компонент содержит два файла Mach-O для каждой из используемых архитектур: x86 от Intel и собственный SoC Apple — M1 (Arm).

В конечном счёте жертва получает в систему шпионскую программу.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 02 Мая 2024 - 12:59

Ошибки конфигурации программ Сбои программ Общее Google

Добавленная в Chrome 124 постквантовая криптография ломает TLS-соединения

Ряд пользователей браузера Google Chrome жалуется на проблемы с подключением к сайтам, серверам и файрволам. Судя по всему, вина лежит на новом квантово-устойчивом механизме инкапсуляции X25519Kyber768, включенном по умолчанию в вышедшем на прошлой неделе Chrome 124.

Напомним, с августа Google тестирует постквантовый механизм инкапсуляции, а теперь корпорация включила его по умолчанию в последних сборках Chrome для всех пользователей.

Нововведение использует квантово-устойчивый алгоритм Kyber768 для подключений по TLS 1.3 и QUIC, что должно помочь защитить трафик от квантового криптоанализа.

«После нескольких месяцев тестирований на совместимость и проверок производительности мы запускаем в десктопной версии Chrome 124 гибридный постквантовый обмен ключами TLS», — объясняет команда Chrome Security.

«Новый подход защитит трафик пользователей от атак, которые руководствуются принципом “сохрани сейчас, расшифруй потом”. Смысл этого принципа в том, чтобы дождаться введения в массовую эксплуатацию квантовых компьютеров, которые смогут расшифровать трафик, перехваченный сегодня».

Однако все оказалось не так просто даже после «нескольких месяцев тщательных тестирований». Например, с выходом версий Google Chrome 124 и Microsoft Edge 124 некоторые системные администраторы обратили внимание на разрыв соединений с приложениями, межсетевыми экранами и серверами после хендшейка TLS ClientHello.

«Похоже на то, что TLS-хендшейк обрывается при соединении с серверами, которые не знают, что делать с дополнительными данными в приветственном сообщении», — пишет один из сисадминов.

«У меня та же проблема с SSL-дешифровкой palo alto. Появилась после выхода Chrome и Edge 124», — подтверждает другой администратор.

Причина этих ошибок не в баге самого браузера Chrome, а скорее в невозможности веб-серверов корректно имплементировать Transport Layer Security (TLS) и, как следствие, обработать более объемные сообщения ClientHello для постквантовой криптографии.

Специалисты даже запустили сайт tldr.fail, на котором можно найти дополнительную информацию о том, насколько большое сообщение ClientHello может сломать подключение.

В октябре на эфире AM Live мы выясняли, насколько реальна квантовая угроза и можно ли от неё защититься.