Загадочный троян Tarmac атакует машины на macOS

Опубликовано at 20:36
324 0

Тенденция вирусов становится более умными добралась и до «яблочных компьютеров».

Новый, ранее неизвестный троян Tarmac. распространяется с помощью уже довольно хорошо известного экспертам дроппера Shlayer. Впервые о Shlayer стало известно в феврале 2018 года, когда эксперты обнаружили вредоносный код внутри magnet-ссылок на торрент-трекерах. Кликнувшие по ним пользователи macOS получали троян-дроппер Shlayer, замаскированный под обновление Adobe Flash Player и загружающий рекламное ПО.

Теперь, однако, нагрузка сменилась. По данным исследователей кибербезопасности из Confiant, операторы Tarmac используют достаточно продвинутые методы, чтобы скрыть свою активность.

Так, ложное обновление Adobe Flash Player подписано действительным сертификатом Apple, что должно усыпить бдительность жертвы. В свою очередь, полезная нагрузка скачивается через команду curl в «Терминале», и файл разворачивается на машине, минуя встроенный карантин, а также проверки защитных систем Gatekeeper и XProtect.

Помимо вышеприведенных «бонусов», Shlayer автоматически получает возможность распаковать целевой вредоносный пакет с привилегиями администратора.

В чем потенциальный вред Tarmac? В том и вопрос, что неизвестно. Авторы вируса максимально запутали код и вычистили из него большую часть информации, которую можно использовать в расследовании. Ключевые данные, включая наименования методов и классов, команды и сообщения об ошибках, оказались сжаты и зашифрованы. Более того, собственный алгоритм на базе ассиметричной и симметричной криптографии защищает от взлома весь обмен данными с управляющим сервером.

На текущий момент известно лишь, что зловред умеет загружать, распаковывать и запускать сторонние приложения. Что это за полезная нагрузка, пока неизвестно: поскольку управляющие серверы Tarmac сейчас недоступны, имеющиеся у экспертов образцы лишь отправляют на нерабочий адрес данные пораженной машины и уходят в режим ожидания.

Текущие атаки направлены против пользователей в Италии, США и Японии.

Читайте также на АКБ другие материалы об актуальных троянах:

Хитрый троянец Локи вскрывает заводы Штатов

Как трояны нагло используют официальные сервисы: 3 свежих истории

Троян GootKit сам выписывает себе «проходку» внутрь Windows 10

Подписываемся, следим @CyberAgency

Related Post