Jamf обнаружил новый штамм вредоносного ПО
Jamf Threat Labs обнаружила новый штамм вредоносного ПО, который, судя по всему, связан с BlueNoroff, группой, которая часто атакует предприятия финансового сектора.
Открытие произошло во время регулярных проверок безопасности Джамфа. Они обнаружили программное обеспечение для компьютеров Mac, тайно подключающееся к известному вредоносному интернет-домену, хотя Джамф не упомянул конкретную программу, о которой следует знать пользователям Mac.
Что сделало находку особенно интригующей, так это то, что это программное обеспечение не было признано угрозой со стороны VirusTotal, популярного веб-сайта, используемого для проверки подозрительных файлов, на момент загрузки Jamf.
Программа умело замаскирована с помощью цифровой подписи, которая на первый взгляд кажется легитимной. Он взаимодействует с сервером, который, хотя и выглядит связанным с законной криптовалютной платформой, контролируется злоумышленниками.
Фирменный ход BlueNoroff
Метод работы соответствует устоявшейся стратегии группы BlueNoroff. Обычно они включают в себя создание поддельных доменов, которые отражают авторитетные компании, что помогает им избежать обнаружения и переманить свои цели.
Мошеннический домен был создан в конце мая 2023 года, и вредоносная программа использует его для отправки и получения информации. Анализ Джамфа показал, что во время расследования сервер домена перестал отвечать, возможно, потому, что злоумышленникам стало известно о проверке.
Дальнейший анализ, проведенный Jamf, показал, что вредоносное ПО было разработано с использованием Objective-C, языка программирования, используемого для программного обеспечения Mac. Вредоносное ПО действует как пульт дистанционного управления зараженным компьютером, позволяя злоумышленникам отправлять команды и управлять системой после взлома.
После активации вредоносное ПО отправляет сигнал в домен, контролируемый злоумышленником, маскируя свои сообщения под обычный интернет-трафик. Он также собирает и отправляет информацию о зараженном компьютере, например версию операционной системы macOS, на которой он работает.
Несмотря на свою простоту, вредоносное ПО эффективно и соответствует подходу BlueNoroff, заключающемуся в использовании простых инструментов для проникновения в скомпрометированные системы и манипулирования ими. Джамф назвал эту конкретную угрозу «ObjCShellz» и считает ее частью более крупной кампании RustBucket, которая отслеживает деятельность BlueNoroff.
Как пользователи Mac могут защитить себя от ObjCShellz
Пользователи Mac могут защитить себя от вредоносных программ, обновляя свои операционные системы и приложения. Важно загружать приложения из надежных источников, таких как Mac App Store или веб-сайты разработчиков.
Также может помочь осторожность с вложениями и ссылками электронной почты, использование встроенного брандмауэра и установка приложений только из Mac App Store или признанных разработчиков. Регулярное резервное копирование, надежные и уникальные пароли, управляемые менеджером паролей, а также предупреждение признаков фишинга имеют решающее значение.
Наконец, мониторинг финансовых счетов на предмет несанкционированных транзакций может помочь заранее обнаружить потенциальные нарушения.
