| 28 ноября 2024 г. — 5:32 PT
9to5Mac Security Bite эксклюзивно предоставляется Mosyle, единственной унифицированной платформой для Apple. Мы занимаемся тем, чтобы устройства Apple были готовы к работе и безопасны для предприятий. Наш уникальный интегрированный подход к управлению и безопасности объединяет передовые решения для безопасности, специфичные для Apple, для полностью автоматизированного укрепления и соответствия требованиям, EDR нового поколения, основанный на ИИ нулевой доверия и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. В результате получается полностью автоматизированная унифицированная платформа для Apple, которой в настоящее время доверяют более 45 000 организаций, чтобы без усилий и по доступной цене сделать миллионы устройств Apple готовыми к работе. Запросите свой РАСШИРЕННЫЙ ТЕСТ-ДРАЙВ сегодня и поймите, почему Mosyle — это все, что вам нужно для работы с Apple.
В специальном выпуске Security Bite на этой неделе Mosyle, лидер в области управления и безопасности устройств Apple, эксклюзивно раскрыл 9to5Mac подробности о новом семействе загрузчиков вредоносного ПО для Mac. Команда исследователей безопасности Mosyle обнаружила, что эти новые угрозы написаны на нетрадиционных языках программирования и используют несколько других скрытых методов для уклонения от обнаружения.
Загрузчик вредоносного ПО — это, по сути, «нога в двери» для киберпреступников. Его основная цель — незаметно установить первоначальное присутствие в системе и создать путь для загрузки более опасного вредоносного ПО.
Новые образцы загрузчиков, обнаруженные ранее в этом месяце, были разработаны с использованием Nim, Crystal и Rust — языков программирования, обычно не используемых для разработки вредоносного ПО. Наиболее распространены Objective-C, C++ и Bash. Такой необычный подход предполагает, что злоумышленники намеренно пытаются обойти традиционные методы обнаружения антивирусами.
Хотя этот подход является скрытым, я скептически отношусь к тому, что он станет широко распространенной тенденцией. Использование менее популярных языков программирования, таких как Nim или Rust, затрудняет работу киберпреступников. Эти языки, вероятно, имеют более сложные процессы компиляции, чем проверенные временем варианты, такие как C и Bash, и они поставляются с меньшим количеством готовых библиотек и инструментов. Более высокий порог обучения и более сложная отладка означают, что преступники с большей вероятностью случайно оставят цифровые следы, которые могут выявить их вредоносное ПО. В конце концов, даже киберпреступникам нужно, чтобы их код работал гладко — а в настоящее время эти экспериментальные языки сильно затрудняют это.
Другие наблюдаемые тактики уклонения:
- Сохранение присутствия через механизм launchctl в macOS
- Многочасовые интервалы сна
- Проверка каталогов перед передачей данных
По данным исследования Mosyle, кампания вредоносного ПО находится на ранних стадиях, потенциально сосредоточена на разведке. Телеметрические данные указывают на то, что образцы поступили из систем в Болгарии и Соединенных Штатах.
Наиболее тревожным является то, что образцы оставались необнаруженными VirusTotal в течение нескольких дней после их первоначального обнаружения.
Ниже приведены хеши трех образцов вредоносного ПО с соответствующими доменами командно-контрольных серверов (C2):
Образец Nim
Домен C2: strawberriesandmangos[.]com
Хеш: f1c312c20dbef6f82dc5d3611cdcd80a2741819871f10f3109dea65dbaf20b07
Образец Crystal
Домен C2: motocyclesincyprus[.]com
Хеш: 2c7adb7bb10898badf6b08938a3920fa4d301f8a150aa1122ea5d7394e0cd702
Образец Rust
Домен C2: airconditionersontop[.]com
Хеш: 24852ddee0e9d0288ca848dab379f5d6d051cb5f0b26d73545011a8d4cff4066
Команда безопасности Mosyle продолжает активно отслеживать и исследовать эти угрозы. Я буду предоставлять здесь обновления по мере получения новой информации. [.] — это для того, чтобы домены не были активно кликабельными. Команда Moysle сообщает, что эти серверы C2 все еще могут быть активны.
Больше: Группы программ-вымогателей демонстрируют всплеск в 3 квартале 2024 года со сменой доминирования