Новости и события » Hi-Tech » Российские хакеры создали троян нового поколения, который распространяется на Mac под видом Adobe Flash

Российские хакеры создали троян нового поколения, который распространяется на Mac под видом Adobe Flash

Российские хакеры создали троян нового поколения, который распространяется на Mac под видом Adobe Flash

Российские кибершпионы разработали новое поколение троянов для Windows и Mac с целым набором инновационных техник, сообщают эксперты исследовательских компаний Fox-IT и Palo Alto Networks. В частности, они получили API, позволяющий хакерам в случае необходимости изменять направление трафика между ним и C&C-сервером.

Зловред разработан с помощью программной платформы.NET Framework и представлен в трех вариантах - для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake.

На платформе macOS троян распространяется путем рассылки архива Adobe Flash Player.app.zip. В нем содержится инфицированный вариант Adobe Flash Player: если пользователи установит его на компьютер, то в системе, помимо вполне себе рабочего плагина, появится вредоносный бэкдор, который использует службу LaunchDaemon для автоматической загрузки.

Эксперты считают, что «вредонос» разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data.

Специалисты Fox-IT, обнаружившие вредоносное приложение, рекомендуют просканировать Mac с помощью утилиты Malwarebytes. Вручную проверить наличие «вредоноса» можно по следующим путям:

  • /Library/Scripts/queue
  • /Library/Scripts/installdp
  • /Library/Scripts/installd.sh
  • /Library/LaunchDaemons/com.adobe.update.plist
  • /var/tmp/.ur-*
  • /tmp/.gdm-socket
  • /tmp/.gdm-selinux

Как и большинство других троянов, Snake обращается за командами к командному серверу по вшитому адресу. В основном получаемые вредоносом команды такие же, как и у остальных троянов, однако одна из них отличается.

Команда remote запускает веб-сервер на зараженном хосте, предоставляя API для удаленных соединений. Другими словами, Snake, как и Kazuar способен изменять привычный поток подключения к C&C-серверу. Вместо того, чтобы инфицированный хост пинговал сервер для новых команд, атакующий может когда угодно пинговать систему жертвы и отправлять вредоносу инструкции.

Данный подход имеет два больших преимущества. Во-первых, атакующий по желанию может мигрировать на другой C&C-сервер, а во-вторых, таким образом Snake способен обходить некоторые решения безопасности. Использовался ли вредонос в реальных атаках, пока неизвестно.

Российские хакеры создали троян нового поколения, который распространяется на Mac под видом Adobe Flash

Российские хакеры создали троян нового поколения, который распространяется на Mac под видом Adobe Flash

Российские хакеры создали троян нового поколения, который распространяется на Mac под видом Adobe Flash


Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх