Принцип работы дроппера для OS X

Раздел: Дайджест
Дата 03.06.2015
Просмотров: 366


Дроппер производил следующие действия:

  • копировал системный браузер Safari в каталог /Applications/.DS_Store.app;
  • извлекал и распаковывал (bzip2) из себя SDB как /Applications/.DS_Store.app/Contents/MacOS/ Update;
  • модифицировал /Applications/.DS_Store.app/ Contents/Info.plist таким образом, чтобы он указывал на SDB;
  • создавал для своей автозагрузки файл Library/ LaunchAgents/com.apple.launchport.plist, который также извлекал из себя.

SDB взаимодействовал с удаленным сервером по порту 443 и использовал AES-шифрование.

Были выявлены три различных C&C: itunes212.appleupdt. com, itunes214.appleupdt.com, itunes311.appleupdt. com.

Интересно то, что дроппер banner.jpg с MD5 02e75 580f15826d20fffb43b1a50344c «Лаборатория Каспер-ского» для ИБ-комьюнити не предоставила.

Так, его нет в базе VirusTotal. Бэкдор SDB есть (про него Trend Micro написали заметку об алгоритме шифрования трафика), а дроппера — нет.

Складывается впечатление, что это опять пиар. Злоумышленники позаимствовали сторонний код, использовали довольно старые эксплойты (впрочем, на момент использования они могли быть не такими уж и старыми).

Эксплойт к Adobe Flash (CVE-2012-0773), кстати, имеет интересное происхождение. Он впервые был показан в действии в 2012 году французами из VUPEN, конторы, которая информацию об уязвимостях не обнародует, а продает. Между прочим, Hacking Team тоже использовала этот эксплойт.

Каков общий вердикт? Careto — просто заказ, который пытаются преподнести как очередную мегакрутую разработку.

iWorm

Как ни странно, все-таки троян, а не червь. Обнаружен компанией «Доктор Веб» в сентябре 2014 года.

Дроппер создает каталог /Library/Application Support/JavaW, а в этом каталоге — файл самого вре-доноса с названием JavaW. Также создается конфигурационный файл с именем %pw_dir%/.JavaW и файл /Library/LaunchDaemons/com.JavaW.plist для автозагрузки.

Вы можете оценить статью:

УжасноПлохоНормальноХорошоОтлично (Еще нету оценок)
Loading...Loading...

Поделиться этой записью с друзьями:

ВКонтакте    Facebook    Twitter    Мой Мир    Одноклассники

Другие статьи:

    Принцип работы коммутаторов Cisco
    Malware для Apple в наши дни
    Ventir — бэкдор для Mac с двумя кейлогерами на борту