Mac Malware: Snake Attack bruges til målrettet spionage opdaget til MacOS

En version af Snake, et malware-framework, der er forbundet med spionagemålretning af offentlige organer og virksomheder, der er designet til at angribe MacOS-enheder, har været opdaget af sikkerhedsforskere.

Fox-IT, en hollandsk cybersikkerhed firma, rapporteret Onsdag havde den identificeret en version af det ondsindede angreb designet til at målrette computere, der kører MacOS. Firmaet rapporterer, at det forventer, at malware snart vil blive brugt mod ejere af Apple-stationære og bærbare computere.

Rammen, også kendt som Turla, Uroburos og Agent.BTZ, er tidligere blevet brugt til at målrette højt profilerede personer og organisationer. Fox-IT bemærkede rammen er meget sofistikeret, og dens mål er ofte omhyggeligt udvalgt.

A Rapport fra Kaspersky Lab foreslog, at rammen er blevet brugt til at ramme "flere hundrede computere i mere end 45-lande". Målene for disse angreb var statslige institutioner, ambassader, militære, gymnasier og universiteter, forskere og farmaceutiske virksomheder.

Snake er blevet brugt i målrettede operationer, der er henført til russiske angribere. Kaspersky Labs angreb fandt genstande inden for angrebskoden, som ville tyde på, at angriberne var russiske.

Snake-rammen betragtes som mere sofistikeret end andre bemærkelsesværdige russiske angreb, herunder dem, der anvendes af de berygtede russiske hackergrupper Cosy Bear og Fancy Bear.

Hidtil har angrebene udelukkende målrettet Windows-maskiner. Fox-IT sagde, at angrebet er designet til at skjule tilstedeværelsen af ​​Snake-komponenter for at opretholde lav adgang til netværkskommunikation, hvilket gør det muligt for angriberen at overvåge offerets aktiviteter diskret.

MacOS-versionen af ​​Snake opdaget af Fox-IT ser ud til at være en direkte port i Windows-versionen, komplet med Windows-terminologi intakt. Koden refererer til "explorer" og "Internet Explorer" blandt andre Windows-centriske udtryk.

Angrebet er forklædt i en ZIP-fil, der udgøres af en Adobe Flash Player-installation, der hedder "Adobe Flash Player.app.zip." Installationsprogrammet er blevet gendoorrettet for at tillade, at ondsindede filer installeres på enheden.

Snake-rammen ser ud til at have opnået et underskrevet udviklercertifikat, der gør det muligt at omgå Apples GateKeeper-software, der forhindrer uautoriserede applikationer i at blive installeret på en maskine.

Fox-IT sagde, at der er indikationer i koden til MacOS-versionen af ​​Snake, der betyder, at angriberne er russiske, ligesom den Windows-målrettede version af malware. Forskerne bemærkede midlertidige filer, der lagrer kommando output inden for rammerne, indeholder en kodning, der er designet til at være kompatibel med det russiske alfabet.

Snake-angrebene spredes typisk gennem phishing-operationer med e-mails sendt til målrettede personer i håb om at de vil klikke på et ondsindet link og installere den inficerede fil. I øjeblikket er angrebet ikke fundet i naturen og menes at det endnu ikke er operationelt, men vil sandsynligvis blive brugt i fremtiden.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.