Опасные Malware для Apple в наши дни

Monah 02.06.201516.03.2017 Дайджест

Распространение этого вируса ограничено очень многими факторами. Прежде всего, заражению подвергаются только файлы с 32-битной архитектурой.

Кроме того, многие файлы имеют цифровую подпись, поэтому в их заражении нет никакого смысла, так как система безопасности OS X просто не запустит такой файл.

Наши дни

В общем и целом начали прослеживаться следующие тенденции: использование Java и Adobe Flash уязвимостей для установки, подписывание кода и широкое распространение шпионских программ для целевых атак на пользователей продукции Apple.

В 2014 году количество новых семейств вредо-носов для Mac стало почти таким же, как их суммарное количество за все годы до этого.
Appetite

Этот вредонос интересен информационной шумихой, которая вокруг него творилась. Распиаренное имя — Careto (маска по-испански) или The Mask. В 2014 году «Лаборатория Касперского» опубликовала отчет об очередной продвинутой киберкомпании.

Lingid-Katrin: дайджест статей №948 -> 09.04.13
Gid-Maxis: дайджест статей №876 -> 21.10.14
Lin-Kazakh1: дайджест статей №1004 -> 20.11.12
Gid-Afan1960: дайджест статей №996 -> 03.11.11
Lin-Gonzago: дайджест статей №484 -> 03.02.10
Linuxgid-Susa: дайджест статей №486 -> 17.02.14
Lingid-Maha: дайджест статей №525 -> 28.09.14
Gid-Aidos: дайджест статей №905 -> 27.10.12
Lin-Micha: дайджест статей №957 -> 16.02.11
Linuxgid-Ola: дайджест статей №954 -> 24.02.12

Продвинутость заключалась в использовании в этой компании вредоносов под разные платформы, в том числе Windows, Linux и OS X. Для Windows модули назывались dinner.jpg, waiter.jpg, chef.jpg, отсюда и название — Appetite.

В отчете ЛК, который до сих пор доступен только на английском языке, довольно подробно описаны компоненты для Windows, но вот к описанию Mac-версии есть вопросы.

Одним из компонентов Careto был бэкдор, созданный на базе опенсорсного клона утилиты netcat под названием Shadowinteger’s Backdoor (SDB), разработанного аж в 2004 году.

Gid-Monk: дайджест статей №723 -> 22.05.14
Lingid-Tastak: дайджест статей №783 -> 15.07.13
Gid-Katy: дайджест статей №740 -> 16.09.14
Gid-Graf: дайджест статей №938 -> 06.04.14
Gid-Pronyra: дайджест статей №416 -> 25.11.14

Заражение дроппером происходило при открытии ссылки в фишинговом письме, которая перенаправляла запрос на эксплойт-пак. Он, в частности, использовал уязвимости Java (CVE-2011-3544) и Adobe Flash (CVE-2012-0773).

Файл дроппера назывался banner.jpg, но был исполняемым файлом формата Mach-O.