„Apple“ kompiuterių savininkams – kritinis perspėjimas: kai kurie naudotojai ir vėl susiduria su pavojingomis programomis, sužinokite, ko geriau nedaryti

MacArena.lt

2024-01-28, 13:00

0 komentarų

Nulaužtose „macOS“ skirtose aplikacijose slepiasi naujos kenkėjiškos programos. Tai dar viena priežastis, kodėl neturėtumėte siųstis nulaužtos ar piratinės programinės įrangos į savo „Mac“ kompiuterius – neretai tokioje programinėje įrangoje slepiasi kenkėjiškos programos. Tai galima suprasti. Neretai tie, kad „nulaužia“ mokamas aplikacijas padarydami jas prieinamas nemokamai plačiai auditorijai, turi savo tikslų.

Prasidėjo mega „Aliexpress“ išpardavimai – sutaupykite net iki 70 proc.
„Apple“ kompiuterių savininkams – kritinis perspėjimas: kai kurie naudotojai ir vėl susiduria su pavojingomis programomis, sužinokite, ko geriau nedaryti

Kibernetinio saugumo tyrinėtojai iš „Kaspersky“ perspėja apie naują kenkėjišką programą, sukurtą „Apple“ ekosistemai, platinamą svetainėse, kuriose teigiama, kad jos siūlo nulaužtas programas (pvz. per tornetus).

Aukos atsisiunčia PKG failą, manydamos, kad gauna nulaužtos programėlės, kurią anksčiau atsisiuntė, aktyvatorių ir patalpina atsisiųstą PKG failą į aplanką /Applications/ kaip dalį nurodymų, kaip „aktyvinti“ nulaužtą programinės įrangos dalį.

Kenkėjiška programa vėl užpuolė macOS

Iš pažiūros kenkėjiška programa veikia taip, kaip „numatyta“ – auka gaus netikrą „Activator“ langą, kuriame bus prašoma administratoriaus slaptažodžio. Žinoma, kenkėjiška programa susisiekia su savo komandų ir valdymo (C2) serveriu ir gauna scenarijų, galintį paleisti savavališkas komandas tiksliniame galutiniame taške.

Įdomus dalykas, susijęs su šia kenkėjiška programa, yra tai, kaip ji susisiekia su C2 serverio svetaine, apgaulingai pavadinta „apple-health[.]org“, kad gautų „base64“ koduotą Python scenarijų – ji ištraukia žodžius iš dviejų užkoduotų sąrašų ir kaip trečiojo lygio domeno pavadinimą prideda atsitiktinę penkių raidžių seką. Tokiu būdu kenkėjiška veikla yra paslėpta įprastame sraute.

„Naudodamas šį URL adresą, kodas pateikė užklausą DNS serveriui, siekdamas gauti domeno TXT įrašą“, – paaiškino Kaspersky.

Atsakyme iš DNS serverio buvo trys TXT įrašai, kurių kiekvienas yra „base64“ koduotas AES užšifruoto pranešimo, kuriame yra „Python“ scenarijus, fragmentas.

„Tool“ vykdomasis failas taip pat modifikuoja „/Library/LaunchAgents/launched..plist“, kad užtikrintų scenarijaus išlikimą tarp sistemos perkrovimų.

Galutinė naudingoji apkrova suteikia užpuolikams visų rūšių pranašumų, pradedant prieiga prie „galinių durų“ (backdoor), baigiant informacija apie pažeistą sistemą ir kt. Be kita ko, kenkėjiška programa ieškos „Bitcoin Core“ ir „Exodus“ piniginių pažeistuose įrenginiuose ir, jei jas ras, pakeis jas kopijomis su galinėmis durimis. Kai auka vėl bandys prisijungti prie savo piniginės, lėšos gali išnykti beveik akimirksniu.

„Kaspersky“ taip pat teigė, kad tiriant kenkėjišką programą C2 grįžo su atnaujinta „backdoor“ scenarijaus versija, o tai rodo nuolatinį šios kenkėjiškos programinės įrangos tobulėjimą. Tačiau komandų vykdymas dar nepasiekiamas, sakė „Kaspersky“, teigdamas, kad kenkėjiška programa vis dar vystoma.

0 komentarų

Rašyti komentarą

Prašome gerbti kitus komentatorius. Gerų diskusijų! Apsauga nuo robotų rūpinasi reCAPTCHA ir yra taikoma „Google“ privatumo politika ir naudojimosi sąlygos.

Populiarios naujienos

Taip pat skaitykite

Hey.lt - Nemokamas lankytojų skaitliukas