Исследователи Confiant опубликовали новые сведения об обнаруженной ранее кампании OSX/Shlayer. Как выяснили специалисты, злоумышленники заражают пользователей macOS трояном Tarmac и используют продвинутые методы, чтобы скрыть свою активность.

Вредоносная кампания Shlayer

Впервые об этой угрозе стало известно в феврале 2018 года, когда эксперты обнаружили зловредный код внутри magnet-ссылок на торрент-трекерах. Кликнувшие по ним пользователи macOS получали троян Shlayer, замаскированный под обновление Adobe Flash Player. По оценкам аналитиков, число жертв кампании приблизилось к миллиону, а рекламодатели ежедневно теряли от преступной активности более миллиона долларов.

В январе этого года распространение Shlayer ограничили показом зараженных баннеров. Дальнейшее исследование показало, что преступники также используют зловред для доставки полезной нагрузки — неизвестного ранее зловреда OSX/Tarmac.

Собранные экспертами улики говорят о профессионализме организаторов кампании. Ложное обновление Adobe Flash Player подписано действительным сертификатом Apple, что должно усыпить бдительность жертвы. В свою очередь, полезная нагрузка скачивается через команду curl в Терминале, и файл разворачивается на машине, минуя встроенный карантин, а также проверки защитных систем Gatekeeper и XProtect. Более того, Shlayer таким образом получает возможность распаковать вредоносный пакет с привилегиями администратора.

Чем грозит macOS-троян Tarmac

Эксперты получили устаревшие образцы Tarmac —управляющая инфраструктура, от которой зловред ожидает команд, уже отключена. Тем не менее аналитики изучили внутреннее устройство трояна и получили теоретическое представление о его возможностях.

Создатели программы максимально запутали код и вычистили из него большую часть информации, которую можно использовать в расследовании. Ключевые данные, включая наименования методов и классов, команды и сообщения об ошибках, оказались сжаты и зашифрованы. Собственный алгоритм на базе ассиметричной и симметричной криптографии защищает от взлома весь обмен данными с управляющим сервером.

Чтобы снизить шанс обнаружения, преступники старались использовать встроенные в macOS криптобиблиотеки и фреймворки. С этой же целью они не наделили Tarmac способностью закрепляться на зараженном компьютере.

Тем не менее аналитики выяснили, что зловред умеет загружать, распаковывать и запускать сторонние приложения. Что это за полезная нагрузка, пока неизвестно — поскольку управляющие серверы Tarmac сейчас недоступны, имеющиеся у экспертов образцы лишь отправляют на нерабочий адрес данные пораженной машины и уходят в режим ожидания.

Очередные атаки направлены против пользователей в Италии, США и Японии. По мнению экспертов, охота на итальянских пользователей, несвойственная киберпреступникам, может говорить о том, что злоумышленники нашли там уязвимую точку, которая открывает доступ к нужной цели.

Поскольку использованный преступниками метод позволяет обходить защиту macOS, аналитики рекомендуют пользователям этой системы проявлять особую осторожность при скачивании файлов из Интернета.