Исследователям безопасности наконец-то удалось изучить образцы двух новых вредоносных семейств для Mac, которые сдавались в аренду на подпольных порталах в течение трех недель.
Оба портала были запущены 25 мая и обнаружены Каталином Кимпану (Catalin Cimpanu) из Bleeping Computer.
Первый сайт под названием MacSpy предлагает шпионское ПО для Mac по бизнес модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Второй ресурс, MacRansom, предлагает вымогательские программы по уже ставшей классической схеме «вымогательское ПО как услуга» (Ransomware-as-a-Service, RaaS). Оба вредоноса созданы одним и тем же разработчиком, а сайты на первый взгляд кажутся идентичными. Ресурсы являются «закрытыми», то есть, для обсуждения оплаты и получения демо-версии программ потенциальные клиенты должны связаться непосредственно с их автором. ИБ-эксперты из Fortinet и AlienVault заполучили образцы MacRansom и MacSpy соответственно.
Исследователи компаний проанализировали вредоносы и пришли к одному и тому же выводу – их автором является малоопытный разработчик. Несмотря на создание MaaS-портала, он уделил мало внимания качеству своего продукта, к примеру, код MacSpy был скопирован из Stack Overflow. И у MacSpy, и у MacRansom отсутствуют цифровые подписи, поэтому попытка их выполнения на macOS со стандартными настройками вызовет появление уведомлений безопасности. MacRansom не подключается к C&C-серверу, а значит, возможность восстановить зашифрованные файлы отсутствует.
В настоящее время какие-либо вредоносные кампании с использованием вышеупомянутых программ зафиксированы не были. Вероятно, это связано со сложным процессом, который должны пройти потенциальные клиенты перед тем, как получить ПО. Stack Overflow – популярная система вопросов и ответов о программировании, разработанная Джоэлем Спольски и Джеффом Этвудом в 2008 году.
Скачайте SafeUM — общайтесь приватно, без рекламы и спама.
Axarhöfði 14,
110 Reykjavik, Iceland