Кибершпионская группа, связанная с Ираном, использует вредоносную программу MacDownloader для кражи учетных и других данных с компьютеров Mac.
MacDownloader, который часто маскируется злоумышленниками под обновление Flash Player и утилиту от Bitdefender, был создан в конце 2016 года. Большая часть его кода была скопирована с других реализаций, эксперты считают, что этот вредонос может быть первой попыткой любителя разработчика создать вредоносную программу.
На момент, когда эксперты проводили анализ MacDownloader не детектировался ни одним из антивирусов на VirusTotal. Однако сейчас ситуация изменилась – около десятка антивирусов пометили замаскированные под Flash Player и Bitdefender образцы как вредоносные.
Имеющиеся данные свидетельствуют о том, что MacDownloader связан с Charming Kitten, группой иранских киберпреступников, известной попытками собрать нужную им информацию через социальные сети. После того, как вредонос попадает на устройство, он начинает собирать информацию о системе, сюда входит информацию о процессах, приложениях и паролях, хранящихся в Keychain.
Стоит отметить, что вредоносные программы под Windows, принадлежащие этой же группе хакеров, действуют по схожему сценарию – собирают сохраненные учетные данные и историю браузеров Chrome и Firefox. Код MacDownloader показывает, что разработчики пытались реализовать удаленное обновление и механизмы защиты от удаления вредоноса, но эти возможности не являются функциональными.
MacDownloader, который часто маскируется злоумышленниками под обновление Flash Player и утилиту от Bitdefender, был создан в конце 2016 года. Большая часть его кода была скопирована с других реализаций, эксперты считают, что этот вредонос может быть первой попыткой любителя разработчика создать вредоносную программу.
На момент, когда эксперты проводили анализ MacDownloader не детектировался ни одним из антивирусов на VirusTotal. Однако сейчас ситуация изменилась – около десятка антивирусов пометили замаскированные под Flash Player и Bitdefender образцы как вредоносные.
Имеющиеся данные свидетельствуют о том, что MacDownloader связан с Charming Kitten, группой иранских киберпреступников, известной попытками собрать нужную им информацию через социальные сети. После того, как вредонос попадает на устройство, он начинает собирать информацию о системе, сюда входит информацию о процессах, приложениях и паролях, хранящихся в Keychain.
Стоит отметить, что вредоносные программы под Windows, принадлежащие этой же группе хакеров, действуют по схожему сценарию – собирают сохраненные учетные данные и историю браузеров Chrome и Firefox. Код MacDownloader показывает, что разработчики пытались реализовать удаленное обновление и механизмы защиты от удаления вредоноса, но эти возможности не являются функциональными.
(1).jpg)