Арсенал шифровальщика LockBit дополнили модулем для macOS-устройств

Татьяна Никитина 17 Апреля 2023 - 15:04

Домашние пользователи

...

Неделю назад на VirusTotal был загружен ZIP-файл, который при проверке был опознан как LockBit. Вредоносный архив содержит набор шифраторов: 16 экзешников ELF и один Mach-O. Анализ показал, что последний — это тестовый образец, которому не хватает ряда функций для правильной работы.

Шифровальщик LockBit до сих пор использовался, и крайне успешно, для атак на корпоративные серверы Windows, Linux и ESXi. Обнаруженный экспертами бандл был создан 20 марта: по состоянию на 17 апреля его распознают 36 из 63 антивирусов из коллекции VirusTotal.

Новый набор шифраторов зловреда нацелен в основном на Linux/ESXi/FreeBSD и поддерживает ряд CPU-архитектур: ARM/AArch, MIPS64, SPARC, s390x, PowerPC. Файл Mach-O ориентирован на новейшие «яблочные» компьютеры на чипах Apple Silicon (M1) и пока плохо детектится (9/60 на 17 апреля).

Проведенный в BleepingComputer анализ содержимого файла Mach-O показал, что в коде присутствуют строки, неуместные для macOS-зловреда. Так, в нем обнаружен список из 65 расширений и имен файлов-исключений, ассоциируемых с Windows. Кроме того, были найдены многочисленные ссылки на ESXi, хотя VMware однозначно заявила, что не будет поддерживать Apple M1.

Почти все строки, имеющие отношение к ESXi и Windows, также присутствуют в шифраторах LockBit для MIPS и FreeBSD, что может свидетельствовать об общей кодовой базе. Все эти сборки показались аналитикам сырыми, не готовыми к развертыванию в атаках.

Выводы BleepingComputer подтвердили Азим Ходжибаев из Cisco Talos и специалист по macOS-угрозам Патрик Уордль (Patrick Wardle). Последний при этом отметил, что M1-шифратору для корректной работы не хватает некоторых функций, а также отсутствует адекватная цифровая подпись.

По мнению Уордля, шифратор LockBit для M1 основан на Linux-версии кода и пока не учитывает специфику macOS. При его запуске происходит сбой из-за ошибки переполнения буфера, поэтому на настоящий момент зловред не способен нанести большой вред.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 05 Декабря 2025 - 15:38

Android Трояны Домашние пользователи Лаборатория Касперского

В России в 1,5 раза выросло число заражений NFC-троянами для Android

Во втором полугодии 2025 года кибермошенники в России заметно активизировались. По данным «Лаборатории Касперского», в третьем квартале число попыток заражения Android-смартфонов NFC-троянами выросло более чем в полтора раза и превысило 44 тысячи случаев.

При этом эксперты отмечают интересный сдвиг: если раньше злоумышленники чаще использовали схему «прямого NFC», то теперь всё большую популярность набирает так называемый «обратный NFC».

В этой схеме мошенник выходит на потенциальную жертву через мессенджер и предлагает установить якобы «служебное» приложение для верификации клиента. На деле это вредоносная программа.

После установки жертву убеждают приложить банковскую карту к задней панели смартфона и ввести ПИН-код. Вредонос передаёт данные карты злоумышленникам, которые могут сразу снимать с неё деньги или осуществлять бесконтактные платежи от имени владельца.

Этот метод становится всё популярнее. Жертве присылают APK-файл и уговаривают установить приложение, выдавая его за полезный инструмент. Если пользователь делает зловред основным способом бесконтактной оплаты, смартфон начинает передавать в банкомат сигнал не как его карта, а как карта злоумышленника.

Дальше всё выглядит как обычная просьба «перевести средства на безопасный счёт». Мошенник просит поднести телефон к банкомату и внести деньги — и жертва собственными руками отправляет средства на счёт преступников. Именно поэтому такая схема опаснее: транзакции выглядят вполне легальными.

«С конца 2024 года мы наблюдаем развитие атак с использованием NFC и специальных вредоносных утилит», — объясняет Дмитрий Калинин, эксперт «Лаборатории Касперского». По его словам, подобные техники уже применялись за рубежом, а теперь всё чаще встречаются и в России.

«Если раньше акцент делался на „прямом NFC“, то теперь мы всё чаще видим „обратный NFC“. Опасность этой схемы в том, что жертва сама совершает перевод, и такие операции почти невозможно отличить от обычных», — добавляет он.

Решения «Лаборатории Касперского» определяют подобные вредоносные утилиты как Trojan-Banker.AndroidOS.Ganfyc.

Не так давно мы писали, что для NFC-атак на Android созданы сотни фейков Банка России и Госуслуг.