86 подписчиков
[Продолжение]
Первое поколение использовало API для получения привилегий, необходимых для установки Launch Daemon. Однако для этого требовалось подтверждение пароля от пользователя, что было довольно неприятно. Второе поколение переключилось на Launch Agent, который не требовал пароля, но запускался только тогда, когда пользователь открывал приложение. В третьем поколении вредоносное ПО стало по-настоящему коварным.
Когда пользователь дважды щелкает по значку Final Cut Pro, запускается троянизированный исполняемый файл, запускающий вызовы оболочки для организации установки вредоносной программы. В этом же исполняемом файле содержатся два больших блоба base64, которые декодируются с помощью вызовов оболочки. В результате декодирования обоих этих блобов появляются два соответствующих tar-архива.
Один из них содержит рабочую копию Final Cut Pro. Другой блоб в кодировке base64 декодируется в специализированный исполняемый файл, отвечающий за обработку зашифрованного трафика i2p [ip2 - альтернатива TOR]. После того как встроенные данные были декодированы из base64 и разархивированы, полученные компоненты записываются в каталог /private/tmp/ как скрытые файлы.
После выполнения исполняемого файла 12p установочный скрипт использует curl через i2p для подключения к веб-серверу вредоносного автора и загрузки компонентов командной строки XMRig, которые выполняют скрытый майнинг. Версия Final Cut Pro, которая запускается и представляется пользователю, вызывается из этого каталога и в конечном итоге удаляется с диска.
Вредоносная программа также имеет хитроумные способы скрыться, если пользователь заподозрит, что его машина работает медленно, и откроет Activity Monitor для проверки запущенных процессов. И это действительно красиво!
Скрипт запускает непрерывный цикл, который проверяет список запущенных процессов каждые 3 секунды в поисках Activity Monitor. Если он находит Activity Monitor, то немедленно завершает все вредоносные процессы.
Кроме того, процессы вредоносной программы переименовываются в легитимные процессы, используемые Spotlight, поэтому даже если пользователь заметит их кратковременное появление, это не вызовет никаких тревожных сигналов.
Затем вредоносная программа перезапускается в следующий раз, когда пользователь открывает скомпрометированное приложение.
Будьте бдительны и аккуратны! Мы со своей стороны в Fixed.one также теперь будем внимательнее с машинами пользователей.
2 минуты
26 февраля 2023