Бэкдор Olyx: а тигр-то бумажный

Бэкдор Olyx: а тигр-то бумажный

Несколько дней назад антивирусные эксперты Microsoft напугали владельцев компьютеров Macintosh известиями о новом опасном бэкдоре, позволяющем удаленно контролировать операционные системы Mac OS. Вскоре последовала реакция со стороны разработчика защитных решений для продуктов Apple - компании Intego; ее аналитики убеждены, что и пугать-то здесь особенно нечем, не говоря уж о реальной опасности.


Специалисты из Редмонда получили файлы бэкдора в архиве с образцами различных инфекций (по некоторым данным, он был загружен в известный онлайн-сервис VirusTotal, откуда и отправился ко всем участвующим в работе VT производителям антивирусов). Вредоносный объект получил наименование "Olyx". Его изучение позволило установить, что он представляет собой компьютерный вирус для Mac OS, проникающий в систему и работающий в фоновом режиме без какой-либо потребности в привилегиях администратора.

Olyx притворяется служебным модулем к программному обеспечению Google; запускается он единожды при каждом входе нового пользователя в систему. После удачного запуска он устанавливает соединение с удаленным сервером, расположенным где-то в Южной Корее, и предоставляет своему хозяину возможность просматривать списки файлов и папок, а также загружать произвольные объекты как на компьютер, так и с него. В общем-то, кажется неудивительным, что Microsoft подняла тревогу.

Однако компания Intego, которая является довольно известным поставщиком антивирусных продуктов для операционных систем производства Apple, ничего сенсационного в Olyx не усмотрела. Ее аналитики заявили, что им этот бэкдор попался еще в конце июня сего года, решение VirusBarrier уже почти месяц как способно его обнаружить, и вообще никакой особенной угрозы эта вредоносная программа не несет.

Говоря о безвредности Olyx, эксперты Intego подразумевают, что он еще ни разу не был замечен в реальной вирусной среде в такой форме, которая позволяла бы ему эффективно распространяться. В текущем своем виде он напоминает скорее концепт, поразить которым систему не так просто: пользователю понадобится предпринимать сознательные усилия по его установке. В принципе его можно также подключить к другим образцам вредоносного программного обеспечения, заразить которыми компьютер проще, но, опять же, таких случаев в Intego еще не видели. Кроме того, "жуткий бэкдор" попросту не слишком грамотно построен и работает некорректно, т.е. его определенно писал не высококвалифицированный программист. Таким образом, подчеркивают аналитики, бояться тут особенно нечего, а Microsoft явно преувеличила степень опасности Olyx.

eWeek

Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru