Дроппер производил следующие действия:
- копировал системный браузер Safari в каталог /Applications/.DS_Store.app;
- извлекал и распаковывал (bzip2) из себя SDB как /Applications/.DS_Store.app/Contents/MacOS/ Update;
- модифицировал /Applications/.DS_Store.app/ Contents/Info.plist таким образом, чтобы он указывал на SDB;
- создавал для своей автозагрузки файл Library/ LaunchAgents/com.apple.launchport.plist, который также извлекал из себя.
SDB взаимодействовал с удаленным сервером по порту 443 и использовал AES-шифрование.
Были выявлены три различных C&C: itunes212.appleupdt. com, itunes214.appleupdt.com, itunes311.appleupdt. com.
Интересно то, что дроппер banner.jpg с MD5 02e75 580f15826d20fffb43b1a50344c «Лаборатория Каспер-ского» для ИБ-комьюнити не предоставила.
Так, его нет в базе VirusTotal. Бэкдор SDB есть (про него Trend Micro написали заметку об алгоритме шифрования трафика), а дроппера — нет.
- Победитель в номинации лучший СМИ-сайт на Drupal -> 06.10.13
- Lin-Mikilla: дайджест статей №1002 -> 05.03.10
- Великая организация с открытым доступом Drupal -> 25.04.12
- Gid-Ultras: дайджест статей №1016 -> 26.04.12
- Linuxgid-T: дайджест статей №901 -> 27.08.13
- Linuxgid-Dao: дайджест статей №441 -> 14.06.14
- Linuxgid-Xaos: дайджест статей №921 -> 10.07.14
- Gid-Molotov: дайджест статей №675 -> 07.06.12
- Gid-Barsik: дайджест статей №939 -> 19.11.11
- Gid-Man200: дайджест статей №758 -> 10.01.14
Складывается впечатление, что это опять пиар. Злоумышленники позаимствовали сторонний код, использовали довольно старые эксплойты (впрочем, на момент использования они могли быть не такими уж и старыми).
Эксплойт к Adobe Flash (CVE-2012-0773), кстати, имеет интересное происхождение. Он впервые был показан в действии в 2012 году французами из VUPEN, конторы, которая информацию об уязвимостях не обнародует, а продает. Между прочим, Hacking Team тоже использовала этот эксплойт.
Каков общий вердикт? Careto — просто заказ, который пытаются преподнести как очередную мегакрутую разработку.
- Gid-Zeleboba: дайджест статей №942 -> 02.05.12
- Lin-Fantom: дайджест статей №895 -> 05.08.10
- Linuxgid-Cr: дайджест статей №951 -> 25.10.14
- Gid-Allegro: дайджест статей №983 -> 08.05.12
- Gid-Alina29: дайджест статей №989 -> 09.06.14
iWorm
Как ни странно, все-таки троян, а не червь. Обнаружен компанией «Доктор Веб» в сентябре 2014 года.
Дроппер создает каталог /Library/Application Support/JavaW, а в этом каталоге — файл самого вре-доноса с названием JavaW. Также создается конфигурационный файл с именем %pw_dir%/.JavaW и файл /Library/LaunchDaemons/com.JavaW.plist для автозагрузки.