Распространяемый через поисковую выдачу фейк iTerm2 крадет пароли с macOS

Распространяемый через поисковую выдачу фейк iTerm2 крадет пароли с macOS

Распространяемый через поисковую выдачу фейк iTerm2 крадет пароли с macOS

Обнаружен новый троян для macOS, способный воровать информацию и, возможно, открывать бэкдор. Зловред, замаскированный под iTerm2 (бесплатный аналог утилиты «Терминал»)  распространяется через спонсорские ссылки в результатах поисковой выдачи.

Новобранец, которого ИБ-эксперт Патрик Уордл (Patrick Wardle) назвал ZuRu, впервые всплыл на прошлой неделе в Китае. Вредонос раздавался с сайта-клона официального iTerm2.com, появлявшегося в топе поисковой выдачи Baidu на правах рекламы.

Анализ показал, что предложенный для скачивания образ диска содержит приложение с именем iTerm, подписанное сертификатом разработчика. Дополнительный знак безопасности, удостоверяющий принадлежность держателя к сообществу разработчиков Apple, при этом отсутствует. Тем не менее, при установке поддельный пакет с успехом проходит проверки Gatekeeper и способен ввести в заблуждение большинство коммерческих антивирусов (на настоящий момент его детектируют 15 сканеров из 57 на VirusTotal).

Обосновавшись в системе, зловред связывается со своим сервером и загружает с указанного адреса Python-скрипт, а также исполняемый файл с именем GoogleUpdate. Первый собирает и отправляет хозяину информацию о зараженной системе, а также пароли и учетки из хранилища Keychain.

Выявить назначение поддельного апдейтера пока не удалось. Установлено лишь, что при запуске он пытается подключиться к серверу, содержащему пиратскую копию Cobalt Strike — тулкита, популярного у специалистов по пентесту. Вполне возможно, что фейковый GoogleUpdate на самом деле является маячком из этого набора инструментов; его установка позволяет получить скрытый доступ к системе.

Фальшивый сертификат разработчика Apple уже отозвала. Двойник сайта iTerm2 в другой TLD-зоне заблокирован, Baidu удалил соответствующие привязки из своей выдачи. Однако злоумышленники спокойно могут откочевать в другие страны, создав другое вредоносное macOS-приложение, новый сайт и купив еще одну лицензию разработчика за $99.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

68% сотрудников российских компаний не знают об угрозе дипфейков

Платформа для онлайн-коммуникаций и обучения МТС Линк выяснила, что большинство российских работников не получают от работодателей никакой информации о мошенничестве с использованием дипфейков. По данным исследования, 68% опрошенных сообщили, что им ни разу не рассказывали о подобных угрозах.

Особенно редко эту тему поднимают в малых и микроорганизациях — о рисках дипфейков никогда не слышали 70% и 76% их сотрудников соответственно. В среднем и крупном бизнесе ситуация немного лучше, но всё же более 60% работников также остаются неосведомлёнными.

Из тех компаний, где об угрозах всё же говорят, половина делает это регулярно — хотя бы раз в квартал. В крупных организациях сотрудников информируют чаще (в 65% случаев) — для микропредприятий этот показатель не превышает 45%.

Обычно работодатели предупреждают о рисках на личных встречах (54%) или через внутренние сообщения и посты (41%). Лишь 34% компаний включают тему дипфейков в курсы по информационной безопасности. В микробизнесе системный подход встречается крайне редко — только 10% сотрудников узнали о дипфейках в рамках обучения.

Интересно, что, несмотря на риски, 60% россиян положительно относятся к контенту, созданному с помощью искусственного интеллекта. Среди молодёжи (18–34 года) таких ещё больше — 70%, тогда как среди людей старше 45 лет позитивно оценивают подобные видео и изображения лишь 49%.

Исполнительный директор МТС Линк Павел Потехин отметил, что развитие технологий создаёт всё больше способов злоупотребления корпоративными данными:

«Половина из десяти ключевых технологических трендов 2026 года по версии Gartner связана с защитой информации. И уже к 2028 году 80% нежелательных ИИ-действий будут происходить из-за внутренних нарушений. Поэтому системное обучение по кибербезопасности становится для бизнеса жизненно важным».

В опросе МТС Линк участвовали 1000 россиян из городов с населением более миллиона человек. Ранее аналитики компании выяснили, что 48% граждан вообще не знают, что такое дипфейк, хотя треть сотрудников крупных организаций уже сталкивались с мошенническими атаками, основанными на этой технологии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru