/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F8336e958f8586d0cf66a442dd606692f.jpg)
Хакерів КНДР викрили на поширенні нового шкідливого ПЗ для macOS, яке не бачать антивіруси
Деталі
Повідомляється, що шкідливе програмне забезпечення цього разу спрямоване лише на macOS. Його знайшли на сервісі VirusTotal, де люди перевіряють файли на наявність вірусів. Але, як не дивно, заражені програми були позначені як "чисті". Зловмисний код був написаний у трьох версіях: на Go, Python і за допомогою програмного каркаса з відкритим кодом Flutter, повідомляє 24 Канал з посиланням на звіт CyberScoop.
Flutter – фреймворк Google, відомий тим, що дозволяє розробникам створювати додатки для iOS, Android та інших платформ на основі єдиної кодової бази в Dart. Flutter популярний завдяки своїй кросплатформенній простоті, але його дизайн також робить його інструментом мрії для зловмисників, оскільки притаманна йому структура коду робить аналіз "нутрощів" готової програми досить складним. Це означає, що хакери можуть легше впроваджувати й ховати шкідливий код, а дослідники безпеки не відразу його помічають.
В одному з випадків шкідливе програмне забезпечення видавало себе за просту гру Minesweeper, клоновану безпосередньо з GitHub, а шкідливий код заховали у файлі dylib. Цей прихований код намагався підключитися до командно-контрольного сервера (C2) за адресою mbupdate[.]linkpc[.]net, домену з посиланнями на попередні північнокорейські шкідливі програми.
Коли дослідники викрили кампанію, сервер був неактивний – видавав лише помилку "404 Не знайдено", тому атака, судячи з усього або була завершена, або взагалі ще не була повністю розгорнута. Однак шкідливе програмне забезпечення було досить хитрим, щоб прослизнути через процес перевірки Apple, тобто системи безпеки macOS вважали його безпечним.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2Fcb429f405ca72cfa1493574a232497cf.jpg)
Гра Minesweeper, у якій ховався шкідливий код / Скриншот 24 Каналу/CyberScoop
Шкідливе програмне забезпечення було налаштоване на виконання команд AppleScript, надісланих з сервера, і навіть виконувало їх у зворотному напрямку, щоб уникнути виявлення. Тести підтвердили, що вірус може віддалено виконати будь-яку команду AppleScript, надіслану сервером C2, що могло б дати хакерам повний контроль, якби атака відбувалася в реальному часі.
Наразі, схоже, що це був тестовий запуск. Дослідники підозрюють, що метою цієї програми не була атака користувачів. Судячи з усього за допомогою Minesweeper хакери Північної Кореї експериментують зі способами "пронести" шкідливе програмне забезпечення повз захист Apple, щоб потім використати цей досвід з іншими програмами, підсовуючи заражені додатки потрібним людям.
Flutter сам по собі не є шкідливим, але він навмисно побудований так, що приховувати деталі коду. Це нагадування про те, як зловмисники стають розумнішими, використовуючи звичайні інструменти розробників по-новому, щоб замаскувати свої наміри.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Ffavicons%2Fsocial-icon-24.png){kind=icon}
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F335f1494da6cb258ff370172ca425fd4.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F422b67c8a50af4304462be9857920345.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F2%2F7857037d9165383a09b4a815f735e909.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Ffa4b123418952c11d0842111d3a1be9b.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F222%2F2433647ce7aedb683d7b492cb0929111.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F2cd81d848182ef34d326cdd904bcd84a.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F9b6f2ff51fac5ad9af4a0b5f42d25edd.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F8d6475c15d394e83d03ac0aee1b3b562.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F81abc5db9e1e9e02a4c738c5c7cd2956.jpg)