Новый вредонос для macOS сочетает в себе бэкдор и криптомайнер

Новый вредонос для macOS сочетает в себе бэкдор и криптомайнер

Обнаруженная недавно вредоносная программа, атакующая macOS, представляет собой комбинацию из двух программ с открытым исходным кодом. Угроза детектируется как «DarthMiner», о ней сообщили исследователи Malwarebytes.

DarthMiner распространяется через приложение Adobe Zii, которое якобы помогает бесплатно пользоваться программами Adobe. На деле же Adobe Zii и близко не реализует заявленный функционал.

Фейковое приложение запускает шелл-скрипт, который загружает и выполняет другой скрипт, написанный на Python. После этого загружается приложение под названием sample.app, которое представляет собой одну из версий Adobe Zii. Так вредонос пытается скрыть злонамеренную активность.

Обфусцированный скрипт на Python первым делом ищет довольно популярный брандмауэр Little Snitch. Если он находит его, вредоносная программа сразу завершает свой процесс.

Далее в ход вступает бэкдор EmPyre, который позволяет выполнять произвольные команды на зараженном Mac-компьютере. Уже следующим этапом устанавливаются дополнительные компоненты вредоноса. Для автоматического запуска программы создается специальный launch agent.

По словам исследователей, одним из основных вредоносных компонентов выступает криптомайнер XMRig, который позволяет добывать цифровую валюту за счет ресурсов процессора пользователя. Таким образом, атакующий получает возможность как майнить, так и выполнять произвольные команды в зараженной системе.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PyPI приостановил регистрацию новых пользователей из-за вредоноса

Популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

PyPI — одно из первых мест, куда идут разработчики на Python, пытаясь найти нужные пакеты. Из-за популярности репозиторий не раз становился объектом внимания киберпреступников.

Именно такую кампанию злоумышленники запустили на днях, из-за чего администраторам PyPI пришлось приостановить регистрацию новых пользователей на площадке.

 

О кибероперации также написали исследователи из Checkmarx. По их словам, атакующие сразу начали с загрузки 365 пакетов, чьи имена были замаскированы под легитимные проекты.

Все злонамеренные пакеты включали вредоносный код в файле «setup.py», который выполнялся в процессе установки. Этот код пытается получить дополнительный пейлоад с удалённого сервера.

Для ухода от детектирования вредонос зашифрован с помощь модуля Fernet, а URL командного центра собирается динамически при необходимости.

Конечный пейлоад представляет собой троян, ворующий данные пользователей, сохранённые в браузерах: логины и пароли, cookies и крипторасширения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru