Новая активность OceanLotus: под прицелом пользователи macOS

Следующая новость

Компания ESET — эксперт в области информационной безопасности — предупреждает о новой вредоносной деятельности группы киберпреступников OceanLotus. В частности, было зафиксировано новый образец вредоносного программного обеспечения, нацеленный на пользователей macOS. Продукты ESET обнаруживают угрозу как OSX/OceanLotus.D.

Напомним, что ранее специалисты ESET уже сообщали о совершенствовании инструментария группы OceanLotus для выполнения собственного вредоносного кода и сложности выявления угроз решениями по безопасности в системах Windows. Впоследствии стало известно, что группа OceanLotus имеет в своем инструментарии также вредоносный компонент для устройств macOS.

Недавно специалисты ESET обнаружили усовершенствованную версию именно этого вредоносного инструмента. Новый бэкдор обладает таким же функционалом, что и предыдущая версия угрозы для macOS, однако изменилась структура вредоносной программы и усложнилось ее обнаружения. Загрузчик пока не зафиксирован, поэтому начальный вектор заражения жертв остается неизвестным. Несмотря на то, что команды бэкдора не изменились, специалисты ESET заметили несколько других модификаций. В частности, командные серверы, используемые для этого образца, были созданы относительно недавно, а именно 22 ноября 2018.

Также первый пакет, который направляется на командный сервер (C&C), содержит больше информации о машине хоста. С помощью команд из устройства жертвы собираются такие данные, как информация о процессоре, памяти, MAC-адрес сети, серийный номер устройства.

Как видим, злоумышленники продолжают совершенствовать свой набор инструментов для атаки пользователей Mac. Код угрозы по сравнению с предыдущей версией существенно не изменился. Из-за отсутствия на компьютерах многих пользователей Mac программного обеспечения для защиты, избежание обнаружения не слишком важное для киберпреступников. Поскольку сетевая библиотека для коммуникации с командным сервером теперь зашифрована на диске, точный сетевой протокол, который используется, остается неизвестным.

Для получения подробной информации о вредоносной программе или просмотра идентификаторов угрозы перейдите по ссылке.