В даркнете продается новое вредоносное ПО для Mac


Issledovateli bezopasnostiИсследователям безопасности из компаний Fortinet и AlienVault изучили образцы двух новых вредоносных семейств для Mac, которые в течение трех недель сдававшиеся в аренду на двух подпольных порталах.

Вредоносное ПО предлагалось:

  • На первом сайте: MacSpy - предлагал шпионское ПО для Mac по бизнес модели "вредоносное ПО как услуга" (Malware-as-a-Service, MaaS).
  • На втором: MacRansom - предлагал вымогательские программы по уже ставшей классической схеме "вымогательское ПО как услуга" (Ransomware-as-a-Service, RaaS).


Установлено, что оба вредоноса созданы одним и тем же разработчиком, а сайты на первый взгляд кажутся идентичными.

Ресурсы являются "закрытыми". А для обсуждения оплаты и получения демо-версии программ потенциальным клиентам необходимо связаться непосредственно с их автором. ИБ-эксперты из Fortinet и AlienVault сумели заполучили образцы MacRansom и MacSpy соответственно.

Исследователи обеих компаний проанализировали вредоносы и пришли к одинаковому выводу – их автором является малоопытный разработчик. Несмотря на создание MaaS-портала, вирусописатель уделил мало внимания качеству своего продукта, например, код MacSpy был скопирован из Stack Overflow. Кроме того, и у MacSpy и у MacRansom отсутствуют цифровые подписи, поэтому попытка их выполнения на macOS со стандартными настройками вызовет появление уведомлений безопасности. Кроме того, MacRansom не подключается к C&C-серверу, а значит, возможность восстановить зашифрованные файлы отсутствует.

В настоящее время вредоносные кампании с использованием вышеупомянутых программ не зафиксированы.


Обновлено (13.06.2017 21:22)