Фальшивый взломщик программ Adobe внедряет майнер на macOS

Вредоносный скрипт DarthMiner, который маскируется под пиратскую программу и устанавливает майнер криптовалюты, обнаружили исследователи из компании Malwarebytes. Приложение атакует компьютеры под управлением macOS и внедряет на инфицированную систему свободно распространяемый бэкдор. По словам ИБ-специалистов, зловред может загрузить инструмент для перехвата HTTP/HTTPS-трафика, однако пока эта функция отключена.

DarthMiner попадает на компьютер под видом Adobe Zii — пиратской утилиты, предназначенной для взлома пакета Adobe Creative Cloud. После активации она загружает и выполняет на устройстве Python-сценарий и запускает приложение sample.app — одну из версий Adobe Zii. Основной скрипт обфусцирован и предназначен для установки бэкдора, основанного на opensource-разработке EmPyre.

В первую очередь зловред ищет на компьютере брандмауэр Little Snitch, и в случае его обнаружения прекращает работу. Исследователи отмечают, что эта проверка лишена смысла, поскольку большинство межсетевых экранов заблокировали бы вредоносный скрипт сразу после загрузки.

Открыв соединение с сервером EmPyre, программа создает агент автозагрузки и доставляет на компьютер майнер XMRig. Зловред также может установить приложение mitmproxy, предназначенное для перехвата и изменения трафика на зараженном устройстве. В данный момент эта опция в скрипте отключена.

В октябре этого года mitmproxy уже задействовали в атаках на компьютеры под управлением macOS. Злоумышленники использовали утилиту в кампании OSX.SearchAwesome для внедрения рекламных баннеров на страницы, загружаемые пользователем по протоколам HTTP и HTTPS. Как отмечают ИБ-специалисты, подобные программы позволяют внедрять майнеры в любой интернет-контент в браузере или перенаправлять жертву на вредоносные ресурсы.

Источник: //threatpost.ru/darthminer-attacks-ios/29652/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *