Взломанные приложения для macOS заносят бэкдор из DNS-записей

Екатерина Быстрова 24 Января 2024 - 14:37

Домашние пользователи

macOS

Лаборатория Касперского

Бэкдоры

Трояны

...

Взломанные приложения для macOS заносят бэкдор из DNS-записей

Злоумышленники используют незаметный способ доставки трояна для macOS на компьютеры пользователей: вредоносные скрипты прячутся в DNS-записях. О новой кампании рассказали эксперты «Лаборатории Касперского».

Как отметили специалисты, киберпреступники атакуют macOS Ventura и более поздние версии ОС. В качестве приманки используются взломанные приложения, перепакованные в PKG — именно в них содержится троян.

Пользователи думают, что скачали пиратский софт и выполняют инструкцию по его установке. Условный активатор приложения злоумышленники предлагают положить в директорию «Программы».

После размещения и запуска «активатора» появляется окно, в котором надо ввести пароль администратора компьютера:

Получив требуемые права, зловред запускает исполняемый файл Mach-O с функцией AuthorizationExecuteWithPrivileges, а затем проверяет наличие Python 3 в системе (если его нет, троян инсталлирует пакет).

Далее инфостилер связывается с командным сервером (C2), висящим по адресу apple-health[.]org, и достаёт оттуда зашифрованный base64 Python-скрипт. Последний может выполнять команды на компьютере жертвы.

В Kaspersky указали на интересный метод связи с C2: операторы macOS-трояна задействуют слова из двух жёстко заданных в коде списков и случайную последовательность из пяти букв.

«С этим URL вредонос отправляет запрос DNS-серверу и пытается получить TXT-запись для домена», — объясняют исследователи.

Благодаря этому способу злоумышленникам удаётся прятать вредоносную активность внутри трафика и скачивать пейлоад в виде Python-скрипта, замаскированного под TXT-записи. Другими словами, это выглядит как безопасный запрос.

Изначальный скрип выступает в качестве загрузчика другого Python-скрипта, открывающего для злоумышленника доступ к целевому компьютеру. Он собирает информацию о системе: версию ОС, список каталогов, установленные программы, тип процессора и внешний IP-адрес.

Вредонос также модифицирует /Library/LaunchAgents/launched.<uuid>.plist, чтобы запускаться после перезагрузок. «Лаборатория Касперского» подчёркивает признаки постоянной работы над функциональностью бэкдора.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 19 Ноября 2025 - 10:34

Мошенничество Соответствие законодательству РФ Общее

Московский суд приговорил топов ЗащитаИнфоТранс за мошенничество

Симоновский суд Москвы вынес приговор по делу Юрия Спасского, Виктора Парахина и Романа Лаврентьева. Все трое признаны виновными в мошенничестве в особо крупном размере и на момент расследования занимали руководящие должности в подведомственной Минтрансу компании «ЗащитаИнфоТранс».

Юрий Спасский руководил организацией, Виктор Парахин был его заместителем, а Роман Лаврентьев занимал должность заместителя начальника департамента ИТ.

Уголовное дело о хищении средств, выделенных на мероприятия по противодействию распространению коронавирусной инфекции на транспорте, возбудили ещё в 2021 году.

По версии следствия, фигуранты направили запрос на дополнительное финансирование доработок Единой государственной информационной системы обеспечения транспортной безопасности (ЕГИС ОТБ), разработанной и обслуживаемой «ЗащитаИнфоТранс». Минцифры отклонило заявку.

После этого новый запрос был подан уже от имени подконтрольных обвиняемым компаний «Вектор Технологии» и «Статус Комплайнс». Они подготовили предложения по модернизации ЕГИС на 106 млн рублей и оказанию информационных услуг на 93 млн рублей. Впоследствии общая сумма была снижена до 100 млн рублей, и эта заявка уже была одобрена.

Однако, по данным следствия, фактически никакие работы выполнены не были. Тем не менее в декабре 2020 года были оформлены предварительные испытания и подписаны акты сдачи-приёмки якобы выполненных услуг. В результате, как указывает «Коммерсантъ», сотрудники присвоили «не менее 50 млн рублей». По данным РБК, ссылающегося на Следственный комитет, сумма хищения составила 60 млн рублей.

Судебное разбирательство началось в марте. Все обвиняемые находились под стражей, однако позже Юрия Спасского освободили из изолятора, назначив ему запрет определённых действий.

Ни один из фигурантов свою вину не признал. РБК приводит слова Виктора Парахина, который объяснял необходимость модернизации ЕГИС ОТБ резким ростом нагрузки во время пандемии. Юрий Спасский утверждал, что работа велась в «тяжелейших условиях» в полностью удалённом режиме и находилась под контролем в том числе ФСБ.

Судья Ольга Величко признала всех троих виновными по ч. 4 ст. 159 УК РФ (мошенничество в особо крупном размере). Спасскому и Парахину назначено по 7,5 лет лишения свободы и штраф по 800 тыс. рублей. Лаврентьев получил 6,5 лет и штраф 600 тыс. рублей. Отбывать наказание они будут в колонии общего режима.

Адвокаты осуждённых заявили «Коммерсанту», что планируют обжаловать приговор.