СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
29.12.2025
#ИБ

DriverFixer0428 — кража учетных данных macOS, Dropbox и обход обнаружения ВМ

DriverFixer0428 — это изощрённое Credential-stealing вредоносное ПО для macOS, связанное с кампанией Северной Кореи под названием Contagious Interview. Статический и динамический анализ обнаружил широкий набор техник социальной инженерии, интеграцию с легитимными облачными сервисами и сложные методы обнаружения виртуальных сред, что делает образец особенно трудным для обнаружения и анализа.

Ключевые моменты

  • Вредонос маскируется под системную утилиту и использует обманчивые диалоги, имитирующие нативные приглашения macOS и запросы разрешений Google Chrome для похищения учетных данных.
  • Извлечённые учетные данные передаются через API Dropbox — демонстрируется интеграция с легитимными сервисами для эксфильтрации данных.
  • DriverFixer0428 применяет продвинутые механизмы детекции виртуальных машин с проверками на время выполнения API, что позволяет избегать анализа в песочницах и VM.
  • Внутренняя структура насчитывает 153 функции; среди символов — реализации сборщика учетных записей и компонентов загрузки в Dropbox, включая построение HTTP-заголовков и OAuth-токенов.
  • Анализ памяти выявил подробные строки социальной инженерии, направленные на обман жертв с целью получения macOS-учётных данных.
  • Наблюдается совпадение сетевой инфраструктуры с предыдущими исследованиями (включая результаты FlexibleFerret от SentinelOne).
  • Отсутствие соответствующего хэша в общедоступных базах угроз указывает на возможную ранее не документированную вариацию.

Технический анализ

Анализ бинарника и динамическая отладка показали, что DriverFixer0428 не полагается на простые статические сигнатуры для обнаружения VM. Вместо этого вредонос выполняет набор runtime-проверок через системные API:

  • вызовы sysctlbyname — для получения системных параметров;
  • опросы через IOKit — получение сведений из реестра устройств;
  • проверки через NSScreen — анализ характеристик дисплея и векторов отображения.

При обнаружении признаков виртуальной среды вредонос переходит в неактивное состояние и не выполняет полезную нагрузку, что значительно осложняет поведенческий анализ в лабораторных условиях.

Социальная инженерия и кража учетных данных

DriverFixer0428 реализует тщательно продуманные диалоги, маскирующиеся под системные уведомления macOS и запросы разрешений от Google Chrome. Анализ памяти содержит детализированные строки, подтверждающие сценарии обмана, направленные на ввод пользователем своих учетных данных. После захвата данные фильтруются и передаются в облако посредством API Dropbox.

«Вредоносное ПО маскируется под законную системную утилиту, используя обманчивые диалоги, имитирующие подлинные приглашения macOS и запросы разрешений Google Chrome».

Интеграция с Dropbox и сетевые особенности

Разборка символов указывает на построение HTTP-заголовков и реализацию механизмов получения OAuth-токенов, необходимых для взаимодействия с Dropbox. Это позволяет злоумышленникам использовать легитимный облачный сервис для эксфильтрации данных, что усложняет обнаружение трафика как злонамеренного.

Сетевая инфраструктура наблюдаемая в образце совпадает по ряду показателей с результатами предыдущих исследований, включая те, что описаны в материалах FlexibleFerret от SentinelOne. Однако отсутствие публичного хэша может свидетельствовать о новой, ещё не документированной версии.

Структура и масштабы

Внутренняя структура бинарника включает 153 функции. Среди значимых символов — методы сбора учетных записей и модули для загрузки данных в Dropbox. Такие подробности указывают на продуманную архитектуру с разделением ролей (сбор, упаковка, отправка), а также на использование стандартных протоколов для маскировки трафика.

Рекомендации для пользователей и защитников

Исходя из обнаруженных тактик и возможностей образца, рекомендуется:

  • не вводить учетные данные в подозрительные диалоги и проверять контекст системных запросов;
  • включить двухфакторную аутентификацию (MFA) для критичных аккаунтов;
  • ограничить использование OAuth-токенов и регулярно ревокировать неиспользуемые токены Dropbox;
  • настроить EDR/AV на выявление нетипичных вызовов sysctlbyname, IOKit и аномалий в работе с NSScreen, а также мониторинг активности, связанной с построением нестандартных HTTP-заголовков;
  • блокировать и анализировать подозрительные исходящие подключения к инфраструктуре, ассоциированной с предыдущими кампаниями (FlexibleFerret/SentinelOne), и регистрировать все нестандартные интеграции с облачными сервисами;
  • проводить регулярный аудит установленных приложений и разрешений браузера (особенно Google Chrome); при сомнениях — удалить приложение и выполнить проверку системы специалистами.

Вывод

DriverFixer0428 представляет собой продвинутый пример Credential-stealing malware для macOS, совмещающий в себе качественную социальную инженерию, интеграцию с легитимными облачными сервисами и устойчивые к анализу методы обнаружения виртуальных сред. Отсутствие публичного хэша указывает на то, что это может быть новая вариация в рамках более широкой кампании Contagious Interview. Организациям и пользователям настоятельно рекомендуется усилить меры защиты, следовать перечисленным рекомендациям и оперативно реагировать на признаки компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: