9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, iż urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji i ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM na rynku. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której w tej chwili zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.
W tym tygodniu w specjalnym wydaniu Ugryzienie bezpieczeństwa, Mosylelider w dziedzinie zarządzania i bezpieczeństwa urządzeń Apple, ujawnił wyłącznie 9 do 5Mac szczegółowe informacje na temat nowej rodziny programów ładujących złośliwe oprogramowanie dla komputerów Mac. Zespół ds. badań nad bezpieczeństwem firmy Mosyle odkrył, iż te nowe zagrożenia są napisane w niekonwencjonalnych językach programowania i wykorzystują kilka innych podstępnych technik w celu uniknięcia wykrycia.
Program ładujący złośliwe oprogramowanie to w zasadzie „stopa w drzwiach” dla cyberprzestępców. Jego głównym celem jest potajemne ustalenie początkowej obecności w systemie i stworzenie ścieżki do przesłania bardziej szkodliwego złośliwego oprogramowania.
Nowe próbki modułu ładującego, odkryte na początku tego miesiąca, zostały opracowane przy użyciu języków programowania Nim, Crystal i Rust, które zwykle nie są używane do tworzenia złośliwego oprogramowania. Najpopularniejsze są Objective-C, C++ i Bash. To niezwykłe podejście sugeruje, iż napastnicy celowo próbują ominąć tradycyjne metody wykrywania programów antywirusowych.
Chociaż to podejście jest dyskretne, jestem sceptyczny, iż stanie się powszechnym trendem. Używanie mniej popularnych języków programowania, takich jak Nim czy Rust, jest trudne dla cyberprzestępców. Języki te mają prawdopodobnie bardziej złożone procesy kompilacji niż wypróbowane opcje, takie jak C i Bash, i zawierają mniej gotowych bibliotek i narzędzi. Bardziej stroma krzywa uczenia się i trudniejsze debugowanie oznaczają, iż przestępcy częściej przypadkowo zostawiają cyfrowe okruszki, które mogłyby ujawnić ich złośliwe oprogramowanie. W końcu choćby cyberprzestępcy chcą, aby ich kod działał płynnie, a w tej chwili te eksperymentalne języki znacznie to utrudniają.
Inne zaobserwowane taktyki unikania:
- Trwałość dzięki mechanizmowi launchctl systemu macOS
- Wielogodzinne interwały snu
- Sprawdzanie katalogu przed przesłaniem danych
Według badań Mosyle’a kampania szkodliwego systemu znajduje się w początkowej fazie i potencjalnie koncentruje się na rozpoznaniu. Dane telemetryczne wskazują, iż próbki pochodziły z systemów w Bułgarii i Stanach Zjednoczonych.
Najbardziej niepokojące jest to, iż próbki pozostawały niewykryte przez VirusTotal przez kilka dni po ich pierwszym odkryciu.
Poniżej znajdują się skróty trzech próbek złośliwego systemu z odpowiadającymi im domenami dowodzenia i kontroli (C2):
Próbka Nima
Domena C2: truskawki i mango[.]kom
Hash: f1c312c20dbef6f82dc5d3611cdcd80a2741819871f10f3109dea65dbaf20b07
Próbka kryształu
Dziedzina C2: motocyklincypr[.]kom
Hash: 2c7adb7bb10898badf6b08938a3920fa4d301f8a150aa1122ea5d7394e0cd702
Próbka rdzy
Domena C2: klimatyzacjaersontop[.]kom
Hash: 24852ddee0e9d0288ca848dab379f5d6d051cb5f0b26d73545011a8d4cff4066
Zespół ds. bezpieczeństwa Mosyle w dalszym ciągu aktywnie monitoruje i bada te zagrożenia. W miarę zdobywania nowych informacji będę tu przez cały czas zamieszczał aktualizacje. [.] mają zapobiegać aktywnemu klikaniu w domeny. Zespół Moysle mówi mi, iż te serwery C2 mogą być przez cały czas aktywne.
Więcej: Liczba grup zajmujących się oprogramowaniem ransomware rośnie w trzecim kwartale 2024 r., a ich dominacja zmienia się
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
