Компания Jamf Threat Labs обнаружила новую разновидность вредоносного ПО, связанную с группой BlueNoroff, которая часто атакует предприятия финансового сектора.
Находка была обнаружена в ходе регулярных проверок безопасности Jamf. Специалисты компании обнаружили, что программное обеспечение для компьютеров Mac тайно подключается к известному вредоносному интернет-домену, хотя Jamf не назвал конкретную программу, на которую следует обратить внимание пользователям Mac.
Особенно интересным стало то, что на момент загрузки эта программа не была распознана как угроза на VirusTotal, популярном сайте для проверки подозрительных файлов.
Программа хитро замаскирована и использует цифровую подпись, которая на первый взгляд кажется легитимной. ПО взаимодействует с сервером, который, хотя и кажется связанным с легальной криптовалютной платформой, контролируется злоумышленниками.
Фирменный стиль BlueNoroff
Метод работы соответствует уже разработанным стратегиям группировки BlueNoroff. Как правило, они предполагают создание поддельных доменов, зеркально отражающих деятельность известных компаний, что позволяет избежать обнаружения и заманить жертв в ловушку.
Мошеннический домен был создан в конце мая 2023 года, и вредоносная программа использует его для отправки и получения информации. Анализ, проведённый специалистами Jamf, показал, что во время расследования сервер, на котором находился домен, перестал отвечать на запросы, возможно, потому, что злоумышленникам стало известно о проверке.
Дальнейший анализ показал, что вредоносная программа была разработана с использованием Objective-C – языка программирования, применяемого в программах для Mac. Вредоносное ПО действует как пульт дистанционного управления заражённым компьютером, позволяя злоумышленникам отправлять команды и управлять системой после её взлома.
После активации вредоносная программа отправляет сигнал на контролируемый злоумышленником домен, маскируя свои сообщения под обычный интернет-трафик. Кроме того, она собирает и отправляет информацию о заражённом компьютере, например, версию операционной системы macOS.
Несмотря на свою простоту, вредоносная программа эффективна и соответствует подходу BlueNoroff, который заключается в использовании простых инструментов для проникновения в скомпрометированные системы и манипулирования ими. Jamf назвал эту конкретную угрозу ObjCShellz и считает её частью более крупной кампании RustBucket.
Как пользователи Mac могут защитить себя от ObjCShellz
Пользователи Mac могут защитить себя от вредоносных программ, постоянно обновляя операционную систему и приложения. Важно загружать ПО из надёжных источников, таких как Mac App Store или сайты разработчиков.
Кроме того, стоит с осторожностью относиться к почтовым вложениям и ссылкам, использовать встроенный брандмауэр. Очень важно и регулярное резервное копирование, надёжные уникальные пароли, управляемые менеджером паролей, и бдительность при обнаружении признаков фишинга.
Наконец, мониторинг финансовых счетов на предмет несанкционированных операций поможет обнаружить потенциальные утечки на ранней стадии.