Невідомому раніше APT-угрупованню WindShift вдавалося протягом кількох років здійснювати кібершпигунську діяльність, атакуючи комп’ютери Apple iMac, та залишатися при цьому непоміченим, пише Security Lab.
Як повідомив у своєму звіті дослідник з безпеки компанії DarkMatter Таха Карім (Taha Karim), хакери успішно уникали виявлення протягом декількох років, оскільки атакували рідко і тільки окремих особистостей (всього дві атаки в 2017 році та три в 2018 році). Їх жертвами ставали співробітники державних установ і компаній критичної інфраструктури в країнах Середнього Сходу.
Підготовка до атаки починалася задовго до самої атаки. Зловмисники створювали сторінки підроблених користувачів в соцмережах, а потім відправляли майбутній жертві запит на додавання в друзі. З користувачем встановлювався контакт через особисті повідомлення і виманювалася корисна інформація, така як номери телефонів, електронна пошта тощо.
Від шести місяців до одного року зловмисники стежили за жертвою за допомогою електронних листів, визначаючи коло її інтересів, місце розташування, комп’ютер, частоту кліків тощо. На підставі отриманих даних для жертви створювався спеціальний контент, після чого починалася сама атака.
Зокрема хакери відправляли жертві фішингові листи з посиланням на підконтрольний їм сайт, де за допомогою атаки drive by на Apple Mac завантажувалося шкідливе програмне забезпечення WindTale (варіанти А і В) і WindTape.
WindTale А являє собою підписаний бекдор, який викрадає файли з розширеннями .txt, .pdf, .doc, .docx, .ppt, .pptx, .db., .rtf, .xls та .xlsx. Вперше був використаний в січні 2017 року.
WindTale В з’явився в січні поточного року і являє собою переписану версію WindTale А. Крім викрадення даних, шкідник також завантажує на комп’ютер жертви шкідливе ПЗ WindTape, що має схожі риси з трояном Komplex OSX, використовуваним угрупуванням APT28.