Недавние исследования выявили две значительные угрозы для пользователей macOS: вредоносное ПО, названное RustDoor, и ранее недокументированный вариант Koi Stealer. Оба образца являются частью кампании, которая координируется с северокорейскими государственными структурами, в частности, в рамках более широкой тенденции в области киберпреступности.
Кампания Contagious Interview
Кампания, известная как Contagious Interview (CL-STA-240), включает в себя злоумышленников, выдающих себя за рекрутеров, нацеленных на разработчиков программного обеспечения в криптовалютном секторе. Целью этих действий является доставка вредоносного ПО, замаскированного под законные приложения, во время собеседований при приеме на работу.
Методы атак
В ходе атак используются необычные методы, позволяющие избежать обнаружения:
- Манипуляция компонентами macOS.
- Запуск нескольких двоичных файлов Mach-O для создания обратного соединения с командной оболочкой.
- Скрытие операций копирования файлов с использованием инструмента AppleScript.
Функционал RustDoor
RustDoor предназначено для извлечения данных из конфиденциальных приложений, таких как расширение LastPass для Chrome. Оно загружает и запускает несколько двоичных файлов, создавая соединение с IP-адресом, ранее связанным с RedLine Stealer, и загружает дополнительные скрипты для получения доступа к злоумышленникам.
Функционал Koi Stealer
Koi Stealer, маскируясь под обновление Visual Studio, собирает конфиденциальную информацию, включая данными о криптовалютных кошельках. Ее работа проходит в два этапа:
- Сбор метаданных и учетных данных пользователя.
- Сбор данных, нацеленный на файлы, включая конфиденциальные данные браузера, SSH-ключи и записи из связки ключей.
Во время выполнения своих операций Koi Stealer использует механизм дешифрования для скрытия своих сообщений, применяя операцию исключающего исключения для управления закодированными строками, используемыми для передачи данных по командованию и контролю (C2).
Сравнение с обнаруженными ранее версиями
Наш анализ указывает на сходство между macOS и ранее обнаруженными вариантами Koi Stealer для Windows. Обе версии документируют конфиденциальные каналы и используют схожие архитектуры для передачи и приема данных с C2-серверов. Тем не менее, различные форматы строк в двух вариантах демонстрируют отличия в их реализации.
Связь с северокорейскими кибероперациями
Связи с деятельностью в Северной Корее поддерживаются используемыми инструментами, инфраструктурой, а также стратегией выбора целей, ориентированной на профессии, связанные с криптовалютами. Предполагается, что RustDoor участвует в операциях группы, известной как Манящие рыбы, и кампания соответствует схемам, характерным для северокорейских киберопераций, признанным ФБР.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новые угрозы вредоносного ПО на macOS: RustDoor и Koi Stealer".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.