Появилась новая угроза для Mac, эксперты полагают, что Hacking Team вернулась в строй

В начале февраля в VirusTotal появилась новая малварь для OS X, которую на тот момент не распознавал ни один антивирус. Анализ вредоноса указывает на то, что руку к его созданию приложила небезызвестная компания Hacking Team. Эксперты из SentinelOne и Synack сходятся во мнении, что Hacking Team вернулась к работе после масштабного прошлогоднего взлома.

4 февраля 2016 года в VirusTotal был загружен образчик малвари, которую, по состоянию на вторник, 1 марта 2016 года, способны обнаружить только 15 из 56 антивирусных решений, поддерживаемых проектом. Командные серверы вредоноса последний раз демонстрировали активность в январе текущего года.

Исследовать компании SentinelOne Педро Виласа (Pedro Vilaça) опубликовал подробный анализ вредоноса. Эксперт пишет, что инсталлятор обновлялся последний раз в октябре-ноябре 2015 года, а встроенный ключ шифрования датирован 16 октября, то есть тремя месяцами позже взлома Hacking Team. Однако инсталлятор устанавливает на машину жертвы копию скомпрометированной прошлым летом платформы Remote Control System, чье авторство принадлежит именно Hacking Team. Виласа пришел к выводу, кто компания вернулась в строй и продолжает использовать старые наработки, хотя в июле прошлого года клятвенно обещала переписать код едва ли не полностью.

С точкой зрения Виласа согласен и Патрик Вордейл (Patrick Wardle) из компании Synack. Он тоже изучил новый образчик малвари и пишет, что это явно новая версия старых поделок Hacking Team.

Несмотря на два опубликованных отчета, до сих пор неясно, как вредонос вообще попадает на машины жертв. По одной из версий, пользователи устанавливают его, принимая за легитимное приложение. Другая версия гласит, что малварь распространяется при помощи некоего эксплоита, который осуществляет скрытое выполнение инсталлятора.

Чтобы проверить Mac на заражение, нужно поискать файл Bs-V7qIU.cYL в директории ~/Library/Preferences/8pHbqThW.

Конечно, не исключено, что кто-то другой сумел разобраться в 400-гигабайтном дампе украденных у Hacking Team данных и коде Remote Control System, и итальянцы вообще не имеют отношения к новой версии вредоноса. Однако эта теория кажется обоим экспертам крайне неправдоподобной.

Источник: xakep.ru

Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s