Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

DigitStealer на macOS: многоэтапное выполнение и постоянный бэкдор

4
3 мин
Специалисты Jamf Threat Labs идентифицировали новую линию вредоносного ПО под названием DigitStealer. По данным анализа, это многоэтапный и тщательно спроектированный stealer для macOS, который применяет передовые методы уклонения от обнаружения и нацелен на эксфильтрацию конфиденциальной информации с скомпрометированных систем. Jamf Threat Labs: «DigitStealer представляет собой сложный stealer для macOS, использующий передовые методы, чтобы избежать обнаружения и извлечь конфиденциальную информацию из своих целей.» Анализ цепочки заражения показывает методичный, поэтапный подход: злоумышленники плавно наращивают сложность payload-ов и усиливают скрытность на каждом шаге. Из отчёта следует, что авторы вредоноса целенаправленно комбинируют простые и сложные техники: Наличие постоянного бэкдора и многосоставной схемы загрузки делает DigitStealer особенно опасным: даже при первичном обнаружении ранних модулей злоумышленники могут сохранить доступ и продолжить сбор данных. Комбинация обфус
Оглавление

Специалисты Jamf Threat Labs идентифицировали новую линию вредоносного ПО под названием DigitStealer. По данным анализа, это многоэтапный и тщательно спроектированный stealer для macOS, который применяет передовые методы уклонения от обнаружения и нацелен на эксфильтрацию конфиденциальной информации с скомпрометированных систем.

Jamf Threat Labs: «DigitStealer представляет собой сложный stealer для macOS, использующий передовые методы, чтобы избежать обнаружения и извлечь конфиденциальную информацию из своих целей.»

Ключевые особенности и этапы атаки

Анализ цепочки заражения показывает методичный, поэтапный подход: злоумышленники плавно наращивают сложность payload-ов и усиливают скрытность на каждом шаге.

  • Начальный дроппер: файл с названием Drag Into Terminal.msi содержит простую команду bash, которая использует curl для загрузки удалённой полезной нагрузки и её последующего выполнения через bash.
  • Первая полезная нагрузка: незапутанный stealer на базе AppleScript, который инициализирует переменные и запрашивает пароль пользователя. Эта ранняя стадия служит «фундаментом» для дальнейших, более сложных модулей.
  • Второй этап — JXA-стиллер: более сложный stealer, реализованный на JXA, также загружаемый через curl и исполняемый как JavaScript через osascript. Код этого модуля сильно обфусцирован, что указывает на намерение скрыть истинную функциональность от аналитиков и средств безопасности.
  • Третий модуль: подменяет приложение Ledger Live. Этот компонент меньше по размеру по сравнению с предшественником, что может свидетельствовать о эволюции дизайна в пользу повышения скрытности.
  • Финальная полезная нагрузка и устойчивость: включает внедрение постоянного бэкдора с использованием Launch Agent, что обеспечивает сохранение доступа злоумышленников к системе и позволяет долгосрочную эксфильтрацию данных.

Технические наблюдения

Из отчёта следует, что авторы вредоноса целенаправленно комбинируют простые и сложные техники:

  • использование стандартных инструментов системы (bash, curl, osascript) для загрузки и исполнения модулей — классическая техника Living off the Land, усложняющая обнаружение;
  • многоэтапная архитектура, при которой ранние модули подготавливают окружение и повышают шансы успешной загрузки последующих, более мощных и обфусцированных компонентов;
  • обфускация JXA-кода как средство сокрытия функций stealer-а;
  • использование подмены доверенного приложения (Ledger Live) — приём для социальной инженерии и сокрытия активности;
  • постоянство через Launch Agent, обеспечивающее выживание и повторное выполнение вредоносного функционала после перезагрузки.

Последствия и значимость

Наличие постоянного бэкдора и многосоставной схемы загрузки делает DigitStealer особенно опасным: даже при первичном обнаружении ранних модулей злоумышленники могут сохранить доступ и продолжить сбор данных. Комбинация обфускации и использования легитимных системных инструментов усложняет задачу средств защиты и расследований инцидентов.

Короткие рекомендации

  • Не запускать неизвестные или сомнительные файлы, даже если их название выглядит безобидно (Drag Into Terminal.msi и подобные).;
  • Мониторить и анализировать вызовы osascript, нестандартные запуски bash и подозрительные сетевые запросы от curl к неизвестным доменам;
  • Проверять и контролировать собственные Launch Agents на предмет незнакомых или неподписанных записей;
  • Использовать поведенческие механизмы защиты и инструменты EDR, способные выявлять цепочки многомодульных загрузок и обфусцированные сценарии на JXA/AppleScript.

DigitStealer — пример целенаправленного и хорошо продуманного угрозового комплекса для macOS. Организациям и индивидуальным пользователям важно учитывать многоэтапную природу таких атак при построении стратегии защиты и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "DigitStealer на macOS: многоэтапное выполнение и постоянный бэкдор".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Операционная система macOS
3805 интересуются