| 30 окт. 2018 г. — 4:34 утра по тихоокеанскому времени
CoinTicker, приложение для Mac, которое отображает текущую цену Биткойна и других криптовалют в вашей строке меню, содержит два отдельных вида вредоносного ПО …
Malwarebytes сообщила эту новость в своем блоге после того, как один из участников форума заметил подозрительное поведение.
Приложение CoinTicker тайно устанавливает не один, а два различных бэкдора.
Без каких-либо признаков проблем, таких как запросы на аутентификацию для root, нет ничего, что могло бы подсказать пользователю, что что-то не так.
Однако при запуске приложение загружает и устанавливает компоненты двух различных бэкдоров с открытым исходным кодом: EvilOSX и EggShell.
Приложение выполняет [команду] shell для загрузки пользовательской скомпилированной версии сервера EggShell для macOS.
Анализ вредоносного ПО не раскрывает точно, что оно делает — по сути, оно создает бэкдоры, которые могут быть использованы различными способами — компания считает, что цель угадать нетрудно.
Хотя точно неизвестно, какую цель преследовал хакер, стоящий за этим вредоносным ПО, как EggShell, так и EvilOSX являются бэкдорами широкого спектра, которые могут использоваться для различных целей. Поскольку вредоносное ПО распространяется через приложение для криптовалюты, вполне вероятно, что оно предназначено для получения доступа к криптовалютным кошелькам пользователей с целью кражи монет.
Сначала это выглядело как атака на цепочку поставок, при которой веб-сайт легитимного приложения был взломан для распространения вредоносной версии приложения […] Однако при более тщательном рассмотрении выясняется, что это приложение, вероятно, никогда не было легитимным. Во-первых, приложение распространяется через домен coin-sticker.com. Это близко, но не совсем совпадает с названием приложения. Ошибиться в названии домена — это ужасно небрежно, если бы это было легитимное приложение. Добавляя дальнейшие подозрения, кажется, что этот домен был зарегистрирован всего несколько месяцев назад, 13 июля.
Malwarebytes говорит, что CoinTicker служит предупреждением о том, что неприятные вещи могут быть сделаны без привилегий root.
Интересное замечание об этом вредоносном ПО заключается в том, что для него не требуется ничего, кроме обычных разрешений пользователя. Привилегии root не нужны. Часто присутствует ошибочный акцент на необходимости привилегий root для вредоносного ПО, но это вредоносное ПО является прекрасной демонстрацией того, что вредоносному ПО не нужны такие привилегии, чтобы иметь высокий потенциал опасности.
Как всегда, совет остается прежним: устанавливайте приложения только из доверенных источников.
По материалам TNW. Изображение: Shutterstock.
Посмотрите 9to5Mac на YouTube для получения дополнительных новостей об Apple: