Исследователи безопасности из Moonlock, относительно нового подразделения MacPaw по кибербезопасности, обнаружили новый штамм вредоносного ПО для macOS, замаскированного под законное приложение для Mac, которое может уничтожить себя при определенных условиях. В худшем случае он может неосознанно извлечь файлы cookie из Safari и Chrome, контакты из адресной книги и пароли из установленных менеджеров паролей. Встречайте Empire Transfer…
9to5Mac Security Bite эксклюзивно предоставлен вам Mosyle, единственная унифицированная платформа Apple. Все, что мы делаем, — это обеспечить готовность устройств Apple к работе и безопасность на предприятии. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе самые современные решения безопасности Apple для полностью автоматизированного обеспечения безопасности и соответствия требованиям, EDR следующего поколения, нулевого доверия на основе искусственного интеллекта и эксклюзивного управления привилегиями с самой мощной и современной Apple MDM. в продаже. Результатом является полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, которая позволяет подготовить к работе миллионы устройств Apple без каких-либо усилий и по доступной цене. Запросите РАСШИРЕННУЮ ПРОБНУЮ ПРОБНУЮ ВЕРСИЮ сегодня и поймете, почему Mosyle — это все, что вам нужно для работы с Apple.
Security Bite — это ваша еженедельная колонка, посвященная безопасности, на 9to5Mac. Каждое воскресенье, Арин Вайчулис предоставляет ценную информацию о конфиденциальности данных, выявляет уязвимости и проливает свет на возникающие угрозы в обширной экосистеме Apple, насчитывающей более 2 миллиардов активных устройств.с. Оставайтесь в безопасностиоставайтесь в безопасности.
Как я сообщал в выпуске журнала на прошлой неделе Укус безопасностиПопулярность вредоносных программ, специально созданных для macOS, продолжает расти, поскольку все больше людей переходят на Mac. В прошлом году было обнаружено 21 новое семейство вредоносных программ, что на 50% больше, чем в 2022 году.
Об этом рассказала лаборатория Moonlock Lab. 9to5Mac что он обнаружил новый штамм вредоносного ПО через приложение на VirusTotal во время исследования образцов. VirusTotal, состоящий примерно из 70 антивирусных механизмов, широко используется профессионалами для анализа подозрительных файлов и URL-адресов на предмет наличия в них вредоносного ПО. С другой стороны, преступники часто используют эту службу, чтобы определить, можно ли легко обнаружить их вредоносные приложения.
По данным Moonlock Lab, 4 декабря 2023 года файл Empire Transfer 12.3.23.dmg впервые появился на VirusTotal. Вероятно, загружено злоумышленниками. Он прошел все сканеры, выглядел как законное приложение и использовал бренд EMPIRE (@EMPIRE on X), известного звукозаписывающего лейбла, связанного с Кендриком Ламаром, Снуп Доггом и другими.
Достаточно стандартный подход к именованию вредоносных программ — использовать родовые или созвучные имена.
Для этого злоумышленники используют имя и логотип, которые легко подделать. Google с целью ввести пользователя в заблуждение. Кроме названия и символа бренда, отображаемых при установке программы через dmg, никаких ссылок на [the real] ИМПЕРИЯ были найдены.
Вот скриншот недавно обнаруженного штамма на VirusTotal:
Empire Transfer — это разновидность вредоносного трояна, известного как похититель информации. Они предназначены для того, чтобы делать именно то, что следует из названия: собирать как можно больше конфиденциальной информации от зараженного пользователя, обычно оставаясь незамеченными. Файл, который обычно содержит пароли, данные кредитной карты, контакты или ключи криптовалюты, отправляется обратно злоумышленнику по электронной почте или через удаленное соединение.
Как работает передача империи
DMG содержит файл, созданный с помощью PyInstaller, под названием «Инженерные документы». Внутри код на основе Python работает как основа приложения Empire Transfer, создавая более дюжины процессов после выполнения. «Примечательно, что этот файл также не обнаруживается VT», — говорит Мунлок. Это указывает на совершенно новый код, еще не обнаруженный VirusTotal или его сканерами.
«Дальнейшее расследование показало, что Empire Transfer 12.3.23.dmg использует различные методы для выполнения своих вредоносных действий, включая запуск AppleScript через инструмент osascript, чтобы обманом заставить пользователей раскрыть свои пароли».
Вредоносное ПО не только нацелено на локально установленные менеджеры паролей (или кошельки), но и извлекает файлы cookie и контакты Safari и Chrome из адресной книги. Ниже приведены фрагменты кода, показывающие, как работает каждый из процессов:
Moonlock Lab считает, что Empire Transfer имеет характеристики, тесно связанные с AMOS, более известным как Atomic Stealer. Еще один вирус, похищающий информацию, который начал атаковать пароли iCloud Keychain в начале прошлого года.
Тем не менее, этот штамм представляет несколько интересных вариаций, которые расширяют его возможности за пределы возможностей Atomic Stealer. «Примечательно, что вредоносное ПО включает в себя несколько файлов в DMG, причем один файл Mach-O упакован с помощью PyInstaller. Такая диверсификация методологии атак предполагает непрерывную эволюцию и адаптацию субъектов угроз, чтобы опережать механизмы обнаружения», — заявляет Moonlock Lab.
Более того, файл Mach-O Empire Transfer использует методы антивиртуализации, которые могут уничтожить себя, если обнаружит среду, отличную от macOS. Довольно сложная техника, разработанная авторами вредоносных программ для уклонения от обнаружения, предотвращения анализа или предотвращения судебно-медицинского расследования, которая обычно применяется в таких приложениях, как VirtualBox, VMWare и других. «Эта тактика направлена на обнаружение присутствия виртуальных машин, добавляя дополнительный уровень уклонения в арсенал вредоносного ПО».
Вот как это выглядит:
Индикаторы компрометации:
Как защититься от похитителей информации и других вредоносных программ
Хотя только около 6% всех вредоносных программ нацелены на пользователей Mac, злоумышленники сейчас активно нацелены на macOS больше, чем когда-либо, и важно сохранять бдительность.
Хотя вы, возможно, уже знаете многие из этих советов, я думаю, что важно еще раз повторить их для масс.
- Проявите должную осмотрительность перед установкой чего-либо за пределами официального Mac App Store.
- Наведите курсор на ссылки и подтвердите их, прежде чем открывать их.
- Используйте надежные и сложные пароли и двухэтапную аутентификацию (по возможности без SMS, лучше всего OTP).
- Будьте осторожны при предоставлении разрешений на вашем Mac.
- Поддерживайте свои устройства и приложения в актуальном состоянии
Как проверить ваш Mac на наличие вредоносного ПО
Если вы заинтересованы в тщательной проверке вашего Mac, ознакомьтесь с этим руководством моего коллеги Майкла Потука ниже:
Следуйте за Арином: Твиттер/ХLinkedIn, Темы
