Користувачі пристроїв macOS – у небезпеці. Загрозу під назвою OSX/OceanLotus.D поширює кіберзлочинне угрупування OceanLotus.
Про це повідомляють фахівці компанії ESET, які виявили вдосконалену версію саме цього шкідливого інструменту.
Новий бекдор володіє таким самим функціоналом, що і попередня версія загрози для macOS, однак змінилася структура шкідливої програми та ускладнилось її виявлення. Завантажувач поки не зафіксований, тому початковий вектор інфікування жертв залишається невідомим. Незважаючи на те, що команди бекдора не змінилися, спеціалісти ESET помітили кілька інших модифікацій. Зокрема командні сервери, що використовуються для цього зразка, були створені відносно нещодавно, а саме 22 листопада 2018 року.
Також перший пакет, який надсилається на командний сервер (C&C), містить більше інформації про машину хоста. За допомогою команд з пристрою жертви збираються такі дані, як інформація про процесор, пам’ять, MAC-адреса мережі, серійний номер пристрою.
Зловмисники продовжують вдосконалювати свій набір інструментів для атаки користувачів Mac. Код загрози порівняно з попередньою версією суттєво не змінився. Через відсутність на комп’ютерах багатьох користувачів Mac програмного забезпечення для захисту, ускладнення виявлення не є надто важливим для кіберзлочинців. Оскільки мережева бібліотека для комунікації з командним сервером тепер зашифрована на диску, точний мережевий протокол, що використовується, залишається невідомим.
Раніше спеціалісти ESET вже повідомляли про вдосконалення інструментарію групи OceanLotus для виконання власного шкідливого коду та складності виявлення загроз рішеннями з безпеки в системах Windows. Згодом стало відомо, що група OceanLotus має у своєму інструментарії також шкідливий компонент для пристроїв macOS.
Нагадаємо, новий вид шахрайства за допомогою повідомлень електронної пошти поширюється в в Інтернеті. У листах стверджується, що пристрій інфіковано, а жертву зафіксовано на відео під час перегляду сайтів інтимного характеру. Мета зловмисників – вимагання грошей у користувачів.
Також не минуло й року з моменту запуску стандарту WPA3 (Wi-Fi Protected Access III), покликаного усунути технічні недоліки протоколу WPA2, який довгий час вважався небезпечним і уразливим до атаки реінсталляції ключів (Key Reinstallation Attack, KRACK), як дослідники виявили низку серйозних уразливостей в стандарті, які дозволяють отримати пароль Wi-Fi і проникнути в мережу.
Окрім цього, дослідник із безпеки Набіл Ахмед (Nabeel Ahmed) опублікував демонстраційний експлойтдля уразливості (CVE-2019-0841) підвищення привілеїв в Windows, викликаної некоректною обробкою посилань сервісом AppX Deployment Service (AppXSVC), використовуваним для запуску додатків Windows Apps, а також для встановлення і деінсталяції цих додатків.
