| 5 мая 2017 г. — 7:01 PT
Новая разновидность вредоносного ПО типа «бэкдор», изначально обнаруженная на Windows, нашла новый дом в macOS. Маскируясь под легитимный установщик Adobe Flash Player, это вредоносное ПО зарывается в существующие папки macOS, что затрудняет его обнаружение. Используя действительный сертификат разработчика, вредоносное ПО могло свободно работать на macOS даже при включенном Gatekeeper.
Эти сертификаты были созданы для проверки приложений с помощью Gatekeeper, но в последнее время они используются для распространения вредоносного программного обеспечения. Это второй задокументированный случай использования действительного сертификата вредоносным ПО за последнюю неделю.
Вредоносное ПО Snake и его варианты существуют уже почти десятилетие. По данным Malwarebytes, Snake заражает системы Windows еще с 2008 года, а вариант для Linux был обнаружен в 2014 году. Fox-IT описывает его как «относительно сложный фреймворк вредоносного ПО», ссылаясь на исследовательский документ Швейцарской национальной команды реагирования на компьютерные инциденты.
Fox-IT четко заявляет, что атаки с использованием Snake носят высокоцелевой характер.
Исследователи, которые ранее анализировали взломы с использованием Snake, приписывают эти атаки России. По сравнению с другими известными злоумышленниками, предположительно связанными с Россией… код Snake значительно более изощренный, его инфраструктура сложнее, а цели выбраны более тщательно.
Сегодняшний вариант для macOS не будет получен вами случайно, но важен сам способ, которым он скрывает себя.
Вредоносное ПО Snake для Adobe Flash
На macOS Snake распространяется через ZIP-файл под названием Adobe Flash Player.app.zip. Этот файл содержит легитимную, но имеющую бэкдор версию Flash Player от Adobe. Приложение, содержащееся в ZIP-файле, изначально выглядит легитимным из-за действительного подписанного сертификата, выданного через Apple. При ближайшем рассмотрении подпись исходит от разработчика по имени Addy Symonds, а не от ожидаемого Adobe. Даже структура пакета приложения выглядит странно по сравнению с обычной.
-
- Пакет приложения вредоносного ПО Snake
-
- Пакет приложения Google Chrome
Большинство пользователей не стали бы проверять пакет приложения перед его установкой.
Если бы пользователь продолжил установку, вредоносное ПО установило бы легитимную копию Adobe Flash Player в систему. Во время этой установки оно также добавило бы вредоносные файлы бэкдора в системные папки macOS и обеспечило их постоянное присутствие. Используя службу LaunchDaemon от Apple, оно могло бы гарантировать, что бэкдор будет быстро перезапускаться, если будет закрыт.
Как проверить, заражены ли вы бэкдором Snake
Версия вредоносного ПО Snake, циркулирующая в настоящее время, содержит отладочный код, а ее сертификат был подписан в феврале этого года. Это позволяет Fox-IT полагать, что оно, возможно, еще не было оперативно, но скоро будет использовано против целей.
К счастью, если у кого-то на системе остался файл Adobe Flash Player.app.zip, Gatekeeper macOS больше не будет показывать сертификат разработчика как действительный. Apple отозвала сертификат этого разработчика, чтобы помочь предотвратить дальнейший ущерб.
Чтобы легко проверить, заражена ли система бэкдором Snake, запустите сканирование с помощью Malwarebytes for Mac. Бесплатное программное обеспечение обнаружит Snake как OSX.Snake и удалит его.
Если вы хотите вручную проверить наличие заражения, вредоносное ПО бэкдора устанавливает следующие компоненты:
- /Library/Scripts/queue
- /Library/Scripts/installdp
- /Library/Scripts/installd.sh
- /Library/LaunchDaemons/com.adobe.update.plist
- /var/tmp/.ur-*
- /tmp/.gdm-socket
- /tmp/.gdm-selinux
Malwarebytes рекомендует сменить пароли и связаться с IT-отделом вашей компании, если вы были заражены. Первое — для обеспечения безопасности вас и ваших онлайн-аккаунтов, а второе — для минимизации потенциального ущерба компании.
Подобные атаки легко распространяются через целевые фишинговые письма, поэтому будьте бдительны в своем поведении в Интернете.
Изображения предоставлены: Malwarebytes