Новости Майнер Monero для macOS использует новые методы «маскировки»

Тема в разделе "Новости", создана пользователем Mr. Pickles, 20 янв 2021.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    858
    Симпатии:
    236
    1.jpg

    Исследователи: «В целях обфускации OSAMiner использует только выполняемые сценарии AppleScripts»


    Исследователями Sentinel Labs была обнаружена обновленная версия майнера OSAMiner для майнинга Monero, целью которого является операционная система macOS.

    Как сообщают исследователи, в последней итерации используются новые методы, препятствующие обнаружению майнера средствами обеспечения безопасности.

    Согласно отчёту Sentinel Labs, OSAMiner, активность которого наблюдается начиная с 2015 года, распространяется путём взлома видеоигр, таких как League of Legends, а также через взломанные версии программных пакетов, включая Microsoft Office для macOS.

    Для обфускации вредоносная программа теперь задействует несколько версий AppleScript — языка сценариев, используемого в устройствах macOS. Операторы OSAMiner выпустили последнюю версию майнера в 2020 году, но исследователи лишь недавно обнаружили её.
    Невозможность обнаружения средствами обеспечения безопасности

    Исследователи говорят, что OSAMiner использует только выполняемые сценарии AppleScripts, что усложняет обратную разработку их кода. Чтобы декомпилировать скрипты вредоносной программы, исследователям Sentinel Labs пришлось использовать относительно менее известный вариант дизассемблера AppleScript и ещё один специализированный инструмент, разработанный фирмой.

    Команда Sentinel Labs обнаружила, что авторы вредоносного ПО использовали дополнительные символы, чтобы скрыть выполняемые процессы. После декомпиляции этих встроенных скриптов исследователи определили, что вредоносная программа использует четыре способа выполнения AppleScript:
    • скрипт, обеспечивающий сохранность родительского скрипта;
    • родительский скрипт для получения серийного номера устройства и для завершения всех запущенных на устройстве процессов;
    • скрипт AppleScript, препятствующий анализу, для выполнения сокрытия от определённых потребительских инструментов мониторинга и очистки;
    • скрипт, который загружает и устанавливает XMR-STAK-RX, бесплатный программный пакет Monero RandomX с открытым исходным кодом для майнинга криптовалюты.
    Со слов исследователей, после того как вредоносное ПО попадает на устройство macOS, оно попытается заблокировать несколько процессов, в том числе Activity Monitor, что не даёт пользователю проверять, как используются ресурсы.

    Прочие атаки

    Другие исследователи, также работающие в области безопасности, тоже сообщили об атаках на устройства MacOS с целью установки майнеров или других типов вредоносного программного обеспечения.

    Ранее в этом месяце исследователями из Intezer Labs была обнаружена кампания с использованием троянца, обеспечивающего удалённый доступ. Вредоносная программа получила название ElectroRAT. Она позволяла злоумышленникам попросту красть криптовалюту из цифровых кошельков на платформах Windows, Linux и macOS (см. Вредоносная программа ElectroRAT атакует криптовалютные кошельки).

    В декабре исследователи из Trend Micro обнаружили некий вариант бэкдора в macOS, который был связан с группой развитых устойчивых угроз, источник которых находился где-то во Вьетнаме. Вредоносная программа использует обновлённый бэкдор и сложные полезные нагрузки, а также методы защиты от обнаружения, что помогает ей скрываться от инструментов, обеспечивающих безопасность (см. Новый вариант бэкдора macOS от вьетнамских хакеров).

    В июле 2020 года компания ESET сообщила, что ею была выявлена целая группа поддельных приложений для торговли криптовалютой, предназначенных для использования с операционной системой macOS. Приложения скрыто устанавливали вредоносную программу под названием Gmera (см. Целью вредоносных приложений для торговли криптовалютой являются пользователи macOS).

    ---

    Источник: Updated macOS Cryptominer Uses Fresh Evasion Techniques

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.