Вредоносный код в отместку за увольнение
Главная » Новости

Вредоносный код в отместку за увольнение

Ксения Ренселаева 13 Января 2011 - 20:06
...

На этой неделе суд приговорил бывшего сотрудника управления по транспортной безопасности (УТБ) к двум годам лишения свободы за попытку внедрения вредоносного кода в систему проверки пассажиров.

Сорокашестилетний Дуглас Джеймс Дучак, житель города Колорадо Спрингс, США,  в течение пяти лет трудился в УТБ в качестве аналитика департамента информационных технологий. Помимо этого, за его плечами 25 лет опыта работы на аналогичных позициях.

Согласно сообщению, 23 октября 2009 года руководство управления решило освободить его от занимаемой должности, попросив освободить место к концу месяца. Перед тем как уйти со службы, рассерженный аналитик решил отомстить работодателю, внедрив в систему вредоносный код. Вредонос мог отключить полностью систему проверки пассажиров, таким образом помешав агентам по безопасности предотвратить проникновение террористов на борт самолета.   

Но, к счастью, попытка не удалась: код не был активирован. Спустя несколько часов подозреваемый был пойман «с поличным». Дело в том, что камерами наблюдения, установленными в секретной зоне, было зафиксировано, что Дучаг воспользовавшись компьютером коллеги, скопировал вредонос в систему. По всей видимости, таким образом он пытался замести следы своих деяний.

В суде, Дучак принес извинения компании и объяснил свои действия тем, что сообщение руководства ввергло его в шок. Однако, он признал себя виновным по предявленному обвинению.

Судья же, учитывая безупречную службу подсудимого, отнеся к нему благосклонно. Помимо 2х лет лишения свободы, Дучак будет должен возместить убытки компании в размере $60587, которые были потрачены на расследование и восстановление системы, а также пройти курс терапии в психиатрической клинике.

Напомним, что по этой статье предполагается наказание в виде 10 лет лишения свободы и штрафа в размере 250000 долларов.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
DirtyZero: новый баг iOS даёт доступ к системе без джейлбрейка
Новость
DirtyZero: новый баг iOS даёт доступ к системе без джейлбрей...
Сенатор Шейкин уточнил порядок новых норм в отношении VPN
Новость
Сенатор Шейкин уточнил порядок новых норм в отношении VPN
Платформа CICADA8 ETM вошла в реестр российского ПО Минцифры
Новость
Платформа CICADA8 ETM вошла в реестр российского ПО Минцифры

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.