Новый Mac-вредонос работает в интересах Сирийской электронной армии

Специализирующаяся на ИТ-безопасности компания Intego сообщает об обнаружении нового вредоносного кода под операционную систему Mac OS X , поолучившего название OSX/Leverage.A. Новинка представляет собой коммандно-контрольный троянец, работа которого указывает на причастность к нему так называемой Сирийской электронной армии. Новинка впервые была обнаружена несколько дней назад и сегодня Apple заблокировала работу троянца через XProtect. В Intego говорят, что прежде Apple не имела столь высокой скорости реакции на появление Maс-вредоносов.

Как рассказали специалисты, троянец распространяется через фото двух целующихся людей, представляющих собой сцену из американского ТВ-шоу Leverage. Именно оно послужило основой для имени троянца, сообщает cybersecurity.ru.

Когда пользователь открывает файл с троянцем, происходит запуск штатного вьюэра Apple Preview., так как по всем признакам запущенный файл - картинка. Однако вместе с картинкой происходит и установка троянского софта. В компании говорят, что на запуск стороннего троянца ничего не указывает и в Dock или при вызове меню Command-Tab.

Сам по себе троянец размещается как приложение UserEvent.app и устанавливается в папку /Users/Shared, также он устанавливает стартовый агент UserEvent.System.plist в папку лонч-агентов текущего пользователя Mac. Intego указывает на то, что во время работы троянец, судя по всему, связан с Сирийской электронной армией, передавая данные в интересах этой хакерской группы.

Компания отмечает, что пока троянец не получил широкого распространения и затронул сравнительно небольшую группу людей, данные с компьютеров которых передавались на контрольные серверы хакеров.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры проникают в смартфоны Xiaomi и подделывают платежи

В моделях Xiaomi Redmi Note 9T и Redmi Note 11 обнаружены уязвимости, с помощью которых можно “вырубить” мобильные платежи и подделать транзакции. В устройство аферисты проникают через мошенническое приложение для Android.

О недостатках в телефонах на базе MediaTek сообщили в отчете специалисты Check Point. По версии компании, “дыру” нашли в надежной среде выполнения (TEE) китайского производителя телефонов.

TEE относится к безопасной области внутри главного процессора. Она гарантирует, что код и загруженные данные будут защищены с точки зрения конфиденциальности и целостности.

Израильская компания обнаружила, что приложение на устройстве Xiaomi может быть скомпрометировано. Это позволяет злоумышленнику заменить новую безопасную версию приложения старой уязвимой (даунгрейд).

“Злоумышленник может обойти обновления безопасности Xiaomi или MediaTek для проверенных приложений, понизив их до непропатченных версий”, — говорит исследователь из Check Point Слава Маккавеев.

 

Уязвимости нашли и в “thhadmin”, легитимном приложении, отвечающим за управление безопасностью. С их помощью вредоносная программа собирает сохраненные ключи и может сама управлять приложением.

“Мы обнаружили уязвимости, которые позволяют подделывать платежи или отключать платежную систему напрямую из приложения для Android”, — уточняет Маккавеев.

Цель хакеров — проникнуть в разработки Xiaomi и управлять сервисом Tencent Soter, который служит базой при авторизации транзакций для WeChat и Alipay.

Это еще не все. Check Point обнаружили, что вредоносный код может извлекать закрытые ключи для подписи платежных поручений. Уязвимость полностью компрометирует платформу Tencent Soter, говорят исследователи.

Xiaomi в июне выпустила патчи для устранения уязвимости CVE-2020-14125. Загруженные обновления должны закрывать “дыру”, добавляют в Check Point.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru