Шпионская программа для Mac, MacSpy, предлагается бесплатно на форумах

Шпионская программа для Mac, MacSpy, предлагается бесплатно на форумах

Эксперты сообщают о том, что спустя всего несколько дней после того, как был обнаружен MacRansom, они наткнулись на первый вредонос-как-сервис (malware-as-a-service, MaaS) для пользователей Mac на открытом форуме, он доступен бесплатно.

Получивший имя MacSpy, вредонос, по заявлениям авторов, представляет собой «самую сложную шпионскую программу для Mac». Разработчики рекламируют MacSpy как бесплатную программу с расширенным функционалом.

Бесплатный вариант зловреда включает поддержку анонимной связи по сети TOR, позволяет делать снимки экрана, логировать нажатия клавиш, записывать голос, извлекать содержимое буфера обмена и данные браузера и перехватывать фотографии iCloud во время процесса синхронизации. Более того, эксперты AlienVault утверждают, что он рекламируется как вредоносная программа, осуществляющая рекордно низкую загрузку памяти и процессора.

Платный вариант предположительно также позволяет злоумышленникам настраивать интервалы записи, может извлекать любые файлы и данные с Mac, шифровать весь каталог пользователя за считанные секунды и маскировать вредоноса под легитимный формат файла.

Кроме того, он поддерживает ежедневную архивацию собранных файлов, доступ к электронным сообщениям и учетным записям в социальной сети, а также подпись кода.

Для того, чтобы заполучить этого MacSpy, придется отправить электронное письмо автору с желаемым именем пользователя и паролем. После создания учетной записи автор отправляет zip-файл новому пользователю вместе с инструкцией.

Судя по всему, злоумышленники могут заражать компьютеры, помещая распакованную папку MacSpy на USB-накопитель и вручную запуская 64-битный исполняемый файл, который называется «updated». Исполняемый файл не подписан, детекта антивирусов, если верить VirusTotal, на него нет.

В дополнение к файлу «updated» архив содержит 64-битный исполняемый файл «webkitproxy», 64-разрядную динамическую библиотеку libevent-2.0.5.dylib и файл конфигурации. Учитывая, что webkitproxy и libevent-2.0.5.dylib подписаны TOR, исследователи пришли к выводу, что они связаны с функцией маршрутизации Tor Onion.

Вредоносная программа также имеет функции анти-анализа, такие как проверку отладчика и виртуализации (количество ядер процессора, объем памяти). Он также проверяет, работает ли он именно на Mac. Для того, чтобы выполняться при каждом запуске, MacSpy создает запись в ~/Library/LaunchAgents/com.apple.webkit.plist.

После запуска вредонос копирует себя в ~/Library/.DS_Stores/ и удаляет исходную папку. Затем он использует команду curl для связи с командным сервером (C&C) и отправляет собранные данные с помощью POST-запросов через прокси-сервер TOR. Также он удаляет временные файлы, которые использует для сбора данных.

обнаружен MacRansom, они наткнулись на первый вредонос-как-сервис (malware-as-a-service, MaaS) для пользователей Mac на открытом форуме, он доступен бесплатно.

" />

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Сотрудникам Аэрофлота запретили пользоваться смартфонами в офисах

Генеральный директор «Аэрофлота» выпустил указ, согласно которому сотрудникам компании запрещается в рабочее время пользоваться телефонами, которые могут производить фото- и видеосъемку, а также аудиозапись.

Эту информацию опубликовал у себя в Twitter председатель совета благотворительного фонда «Нужна помощь» Митя Алешковский.

Исходя из текста приказа, использовать телефоны в офисах могут лишь сотрудники, занимающие определенные должности. Соответствующие должности перечислены в приложении к документу, которое, к сожалению, Алешковский не опубликовал.

«Приказ принят в рамках российского законодательства и направлен на охрану информационной безопасности в компании с госучастием. Последний информационный вброс, а именно фото данного приказа, сделан с применением камеры мобильного телефона, что свидетельствует о правильности решения», — передают «Ведомости» слова представителя компании.

Работников должны будут ознакомить с этим приказом под роспись, а также руководящий состав должен будет выявлять правонарушения и привлекать к дисциплинарной ответственности виновных. Контроль за исполнением приказа возложен на гендиректора по административному управлению «Аэрофлота» Василия Авилова.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru