Вирусописатели обкатывают нового macOS-стилера с управлением через Telegram
Главная » Новости

Вирусописатели обкатывают нового macOS-стилера с управлением через Telegram

Татьяна Никитина 27 Марта 2023 - 15:25
...
Вирусописатели обкатывают нового macOS-стилера с управлением через Telegram

Специалисты Uptycs изучили трояна-инфостилера для macOS, бета-версию которого предлагают приобрести на хакерских форумах. Судя по активному обмену с C2-сервером, число желающих опробовать новинку растет.

В анонсе продавца сказано, что они также готовили к выпуску панель управления и билдер, но один из разработчиков подхватил ковид. Вместе с тем сроки поджимали: в даркнете объявился некий мошенник, который предлагает того же зловреда по завышенным ценам, и такой грабеж нужно было как можно быстрее пресечь.

В настоящее время авторы трояна с кодовым именем MacStealer продают его в виде сборок для Catalina (macOS 10.15) и выше, работающих на машинах с CPU Intel M1 и M2. Проведенный в Uptycs анализ показал, что неподписанный бинарник Mach-O содержит Python-код, скомпилированный в C.

Минималистичный вредонос умеет воровать следующую информацию:

  • пароли, куки, данные банковских карт, сохраненные в браузерах (Chrome, Firefox, Brave);
  • документы, архивы, аудиофайлы и графику жертвы;
  • закодированное по base64 содержимое файлов .keychain-db.

Украденные данные сохраняются на машине в папках с произвольным именем, а затем архивируются и отправляются на C2 и в телеграм-канал текущего оператора. После эксфильтрации все свидетельства кражи (созданные папки и файлы, включая ZIP) удаляются из системы.

 

В настоящее время MacStealer распространяется в файлах .DMG (уровень детектирования 2/59 на 27 марта). При открытии такого файла жертве выводится фейковая подсказка с полем для ввода пароля:

 

Управление инфостилером пока осуществляется с помощью телеграм-ботов, связанных с сервером вирусописателей в домене mac[.]cracked23[.]site. В дальнейшем авторы MacStealer планируют предоставить клиентам возможность выгружать данные на собственные серверы. Набор функций предполагается расширить, добавив атаки на криптокошельки и связь через обратный шелл.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

UserGate WAF 7.4 теперь доступен для отгрузки заказчикам
Екатерина Быстрова 18 Июня 2025 - 13:18
Корпорации Средства защиты веб-сайтов (приложений)Web Application Firewall (WAF) UserGate
UserGate WAF 7.4 теперь доступен для отгрузки заказчикам

С 18 июня 2025 года компания UserGate начала поставки нового продукта — межсетевого экрана для веб-приложений. Решение получило название UserGate WAF 7.4.0 и предназначено для защиты сайтов и API от сетевых атак, ботов и попыток обхода защиты.

Что представляет собой продукт

WAF построен на собственном движке анализа трафика, без использования open source-компонентов. Как утверждают разработчики, это позволило обеспечить более строгий контроль над безопасностью и избежать зависимости от стороннего кода. Решение сертифицировано ФСТЭК (сертификат №3905).

Продукт развёртывается локально в виде образа виртуальной машины, в составе которой уже есть внутренняя ОС UGOS и весь необходимый софт. Поддерживается работа на большинстве популярных гипервизоров, как отечественных, так и зарубежных. Это позволяет быстро запустить продукт — по заявлениям компании, базовая настройка занимает около 15 минут.

Как работает защита

В составе WAF — встроенные наборы правил, включая защиту от типовых уязвимостей из списка OWASP Top-10. Обновления этих правил происходят отдельно от обновлений основного ПО: если специалисты компании находят новую угрозу, они оперативно добавляют соответствующее правило.

При необходимости можно создать собственные политики на внутреннем языке UPL (UserGate Policy Language). WAF также включает защиту API и функции фильтрации DoS-атак на уровне приложений (L7).

Почему WAF — отдельный продукт

Изначально продукт создавался как самостоятельное решение, а не модуль в составе NGFW. Причина — не всем заказчикам требуется защита веб-приложений, а логика работы таких приложений у разных организаций сильно различается. В итоге WAF требует индивидуальной настройки, а не универсального подхода.

Особенности использования

Пока продукт доступен только в виде программного образа для локального развёртывания. В будущем компания планирует выпустить и аппаратные версии. Для использования в закрытых контурах предусмотрена возможность офлайн-обновлений.

По данным UserGate, на российском рынке в сегменте WAF пока сохраняется нехватка решений, которые можно было бы использовать как полноценную замену зарубежному ПО. Некоторые организации до сих пор обходятся без специализированной защиты веб-приложений или используют open source с его ограничениями. Это создаёт интерес к новым локальным решениям, которые можно настроить под свои задачи без зависимости от иностранных технологий.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники подсматривают коды через демонстрацию экрана
Новость
Мошенники подсматривают коды через демонстрацию экрана
С марта по май — 4 млн атак ботов на продажу билетов онлайн
Новость
С марта по май — 4 млн атак ботов на продажу билетов онлайн
ГК Солар фиксирует волну атак на сайты малого и среднего бизнеса
Новость
ГК Солар фиксирует волну атак на сайты малого и среднего биз...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.