| 20 окт 2020 — 5:52 PT
Печально известный шпионский софт GravityRAT, который изначально был нацелен на ПК с Windows, теперь также позволяет совершать атаки на Mac и устройства Android.
Трояны удаленного доступа (RAT) называются так потому, что они маскируются под легитимные приложения (часть «троян») и затем позволяют удаленно получать доступ к скомпрометированной машине…
Компания Kaspersky Cybersecurity описывает вредоносное ПО GravityRAT как «печально известное», потому что оно использовалось в атаках даже на военные объекты и предоставляет огромный контроль.
Bleeping Computer сообщает о возможностях шпионского софта.
– получать информацию о системе
– искать на компьютере и съемных дисках файлы с расширениями .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp и .ods, и загружать их на сервер
– получать список запущенных процессов
– перехватывать нажатия клавиш
– делать снимки экрана
– выполнять произвольные команды оболочки
– записывать аудио (не реализовано в этой версии)
– сканировать порты
Kaspersky давно подозревала, что этот инструмент использовался и против других платформ, и теперь нашла этому подтверждение.
Обнаруженный модуль является дальнейшим доказательством этого изменения, и существует ряд причин, почему он не похож на типичный Android-шпион. Во-первых, для выполнения вредоносных целей должно быть выбрано конкретное приложение, а вредоносный код, как это часто бывает, не основан на коде ранее известных шпионских приложений. Это побудило исследователей Kaspersky сравнить модуль с уже известными APT-семействами.
Анализ модуля использования адресов командно-контрольных серверов (C&C) выявил несколько дополнительных вредоносных модулей, также связанных с акторами, стоящими за GravityRAT. В общей сложности было обнаружено более 10 версий GravityRAT, распространяемых под видом легитимных приложений, таких как приложения для безопасного обмена файлами, которые помогают защитить устройства пользователей от шифрующих троянов, или медиаплееры. Используя эти модули совместно, группа смогла получить доступ к операционным системам Windows, MacOS и Android.
Mac относительно хорошо защищены от троянов, поскольку Apple проверяет приложения, разрешенные в Mac App Store, и по умолчанию не позволяет устанавливать программное обеспечение из других источников. Если пользователь переопределяет стандартную защиту, macOS все равно проверяет, подписано ли приложение легитимным разработчиком.
Однако, как сообщает BleepingComputer, группа, стоящая за GravityRAT, использует украденные подписи разработчиков, чтобы приложения выглядели легитимными.
Перечислить зараженные приложения невозможно, так как GravityRAT имитирует различные легитимные приложения. Лучшая защита — убедиться, что вы устанавливаете приложения только из Mac App Store или непосредственно от доверенных разработчиков. Аналогично, не подключайте кабели или устройства к вашему Mac, если вы не знаете об их происхождении.