"Лаборатория Касперского" обнаружила новый троян для системы macOS, авторы которого пытаются распространять его под видом пиратских приложений.

Недавно мы обнаружили взломанные приложения, распространяемые с пиратских сайтов и содержащие прокси-троянец. Этот класс вредоносного ПО злоумышленники могут использовать как для получения прибыли с организации сети прокси-серверов, так и для совершения различных преступлений от лица жертвы: от атак на сайты, компании и других пользователей до покупки оружия, наркотиков и прочих незаконных товаров.

В отличие от оригинальных, не взломанных версий приложений, которые обычно распространяются в виде образа диска, их зараженные варианты распространялись в виде .PKG-установщиков. Такие файлы в macOS обрабатываются специальной утилитой Installer и имеют возможность выполнять скрипты на этапах до и после непосредственной установки приложения. В собранных нами примерах скрипты запускались только после установки программы.

Подробнее про троян можно почитать по ссылке выше, но любопытен перечень приложений, в которые его зашили. В массе своей это конвертеры видео...

4K Image Compressor.pkg

4K Video Downloader Pro v4.24.3 macOS.pkg

Aiseesoft Mac Data Recovery.pkg

Aiseesoft Mac Video Converter Ultimate.pkg

allavsoft.pkg

AnyMP4 Android Data Recovery for Mac.pkg

AweCleaner.pkg

Downie 4.pkg

FonePaw Data Recovery.pkg

iNet Network Scanner.pkg

MacDroid.pkg

MacX Video Converter Pro.pkg

MouseBoost Pro.pkg

MWeb Pro.pkg

NetShred X.pkg

NetWorker Pro.pkg

Path Finder.pkg

Patternodes.pkg

Perfectly Clear Workbench.pkg

Print to PDF.pkg

Project Office X.pkg

Rocket Typist.pkg

Sketch.pkg

SponsorBlock.pkg

SystemToolkit.pkg

TransData.pkg

Vellum.pkg

VideoDuke.pkg

Wondershare UniConverter 13.pkg

SQLPro Studio.pkg

WinX HD Video Converter for Mac.pkg

Artstudio Pro.pkg

Magic Sort List.pkg

FoneLab Mac Data Retriever.pkg

Apeaksoft Video Converter Ultimate for Mac.pkg

Из непонятного: авторы пишут, что троян создает свой процесс WindowServer...

WindowServer — бинарный файл универсального формата. Мы нашли несколько версий этого приложения — самая ранняя была впервые загружена на VirusTotal 28 апреля 2023 года. При этом ни одну из версий антивирусные вендоры не пометили как вредоносную.

Однако WindowServer — это штатный процесс macOS, который отвечает за графический интерфейс. И непонятно: жулики просто маскируют свой процесс под него, или как-то модифицируют (что вряд ли). Свой уточняющий запрос в "Лабораторию" отправили.

А так то рекомендации прежние: не устанавливайте всякое с непонятных сайтов. Особенно если оно идет в формате установочного файла .PKG.

2 минуты

5 декабря 2023