Иранские хакеры ищут пути вторжения в президентскую кампанию Трампа
Главная » Новости

Иранские хакеры ищут пути вторжения в президентскую кампанию Трампа

Екатерина Быстрова 07 Октября 2019 - 16:43
...
Иранские хакеры ищут пути вторжения в президентскую кампанию Трампа

Киберпреступная группировка, за которой, предположительно, стоит правительство Ирана, попыталась вторгнуться в кампанию президента США Дональда Трампа. О вредоносных действиях сообщили эксперты Microsoft. Знакомые с ситуацией источники заявили, что операция злоумышленников не увенчалась успехом.

По словам Microsoft, в пятницу специалисты зафиксировали повышенную киберактивность вышеозначенной группировки.

Ранее эти правительственные хакеры уже атаковали бывших и действующих чиновников США, освещающих политику журналистов, а также известных иранцев, живущих за пределами страны.

Группировка получила имя «Phosphorous», её участники в 30-дневный период более 2700 раз пытались вычислить аккаунты электронной почты, принадлежащие конкретным людям. В результате злоумышленники провели атаки на 241 учётные записи.

Группа смогла скомпрометировать четыре электронных ящика, однако Microsoft заверила, что эти аккаунты не были связаны с американскими чиновниками.

«Microsoft уведомила всех затронутых пользователей, а также приняла меры по защите взломанных учётных записей», — пишет техногигант.

В блоге американской корпорации не уточняется конкретная правительственная кампания, которую пытались атаковать хакеры из Phosphorous.

Эксперты также отметили, что атаки иранских киберпреступников не отличались особой изощренностью. Хакеры просто использовали добытую персональную информацию.

Phosphorus также известна под именами APT 35, Charming Kitten и Ajax Security Team. Власти Ирана пока никак не прокомментировали заявление Microsoft 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Президент подписал закон о национальном мессенджере
Новость
Президент подписал закон о национальном мессенджере
Фишинг под видом инвестиций: мошенники создают фейковые платформы
Новость
Фишинг под видом инвестиций: мошенники создают фейковые плат...
Платформу Security Vision включили в перечень особо значимых ИТ-проектов
Новость
Платформу Security Vision включили в перечень особо значимых...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.