DigitStealer на macOS: многоэтапное выполнение и постоянный бэкдор
Специалисты Jamf Threat Labs идентифицировали новую линию вредоносного ПО под названием DigitStealer. По данным анализа, это многоэтапный и тщательно спроектированный stealer для macOS, который применяет передовые методы уклонения от обнаружения и нацелен на эксфильтрацию конфиденциальной информации с скомпрометированных систем.
Jamf Threat Labs: «DigitStealer представляет собой сложный stealer для macOS, использующий передовые методы, чтобы избежать обнаружения и извлечь конфиденциальную информацию из своих целей.»
Ключевые особенности и этапы атаки
Анализ цепочки заражения показывает методичный, поэтапный подход: злоумышленники плавно наращивают сложность payload-ов и усиливают скрытность на каждом шаге.
- Начальный дроппер: файл с названием Drag Into Terminal.msi содержит простую команду bash, которая использует curl для загрузки удалённой полезной нагрузки и её последующего выполнения через bash.
- Первая полезная нагрузка: незапутанный stealer на базе AppleScript, который инициализирует переменные и запрашивает пароль пользователя. Эта ранняя стадия служит «фундаментом» для дальнейших, более сложных модулей.
- Второй этап — JXA-стиллер: более сложный stealer, реализованный на JXA, также загружаемый через curl и исполняемый как JavaScript через osascript. Код этого модуля сильно обфусцирован, что указывает на намерение скрыть истинную функциональность от аналитиков и средств безопасности.
- Третий модуль: подменяет приложение Ledger Live. Этот компонент меньше по размеру по сравнению с предшественником, что может свидетельствовать о эволюции дизайна в пользу повышения скрытности.
- Финальная полезная нагрузка и устойчивость: включает внедрение постоянного бэкдора с использованием Launch Agent, что обеспечивает сохранение доступа злоумышленников к системе и позволяет долгосрочную эксфильтрацию данных.
Технические наблюдения
Из отчёта следует, что авторы вредоноса целенаправленно комбинируют простые и сложные техники:
- использование стандартных инструментов системы (bash, curl, osascript) для загрузки и исполнения модулей — классическая техника Living off the Land, усложняющая обнаружение;
- многоэтапная архитектура, при которой ранние модули подготавливают окружение и повышают шансы успешной загрузки последующих, более мощных и обфусцированных компонентов;
- обфускация JXA-кода как средство сокрытия функций stealer-а;
- использование подмены доверенного приложения (Ledger Live) — приём для социальной инженерии и сокрытия активности;
- постоянство через Launch Agent, обеспечивающее выживание и повторное выполнение вредоносного функционала после перезагрузки.
Последствия и значимость
Наличие постоянного бэкдора и многосоставной схемы загрузки делает DigitStealer особенно опасным: даже при первичном обнаружении ранних модулей злоумышленники могут сохранить доступ и продолжить сбор данных. Комбинация обфускации и использования легитимных системных инструментов усложняет задачу средств защиты и расследований инцидентов.
Короткие рекомендации
- Не запускать неизвестные или сомнительные файлы, даже если их название выглядит безобидно (Drag Into Terminal.msi и подобные).;
- Мониторить и анализировать вызовы osascript, нестандартные запуски bash и подозрительные сетевые запросы от curl к неизвестным доменам;
- Проверять и контролировать собственные Launch Agents на предмет незнакомых или неподписанных записей;
- Использовать поведенческие механизмы защиты и инструменты EDR, способные выявлять цепочки многомодульных загрузок и обфусцированные сценарии на JXA/AppleScript.
DigitStealer — пример целенаправленного и хорошо продуманного угрозового комплекса для macOS. Организациям и индивидуальным пользователям важно учитывать многоэтапную природу таких атак при построении стратегии защиты и реагирования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
