СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Артем
Вчера в 11:36
#ИБ

Jamf Threat Labs: новая вредоносная цепочка FlexibleFerret нацелена на macOS с бэкдором на Go и крадет данные через Dropbox

Jamf Threat Labs: новая вредоносная цепочка FlexibleFerret нацелена на macOS с бэкдором на Go и крадет данные через Dropbox

Изображение: Wesson Wang (unsplash)

Специалисты Jamf Threat Labs зафиксировали активность новой вредоносной цепочки, получившей обозначение FlexibleFerret. Эта кампания нацелена на пользователей macOS и использует поэтапную структуру атак с применением поддельных окон, кастомных скриптов и постоянного бэкдора на базе Golang для удержания контроля над заражёнными системами.

Исследование показывает, что вредоносная цепочка начинается со скрипта второго этапа, адаптированного под архитектуру целевого устройства — arm64 или Intel. Этот скрипт загружает архив, извлекает загрузчик следующего этапа во временную директорию и запускает его в фоновом режиме. Для закрепления в системе используется механизм LaunchAgent, который автоматически активирует компонент при каждом входе в систему.

Чтобы повысить эффективность социальной инженерии, атакующие применяют приложение-ловушку, внешне копирующее окно запроса разрешений Chrome. Эта подделка инициирует ввод пароля от системы, который затем перенаправляется в Dropbox. Для сокрытия активности вредоносное ПО собирает домен хоста Dropbox из разрозненных строк, после чего использует официальный API для передачи украденных данных. Также скрипт отправляет запрос на api.ipify.org, чтобы определить публичный IP-адрес жертвы.

На следующем этапе задействуется компонент на языке Go под названием CDrivers. Этот бэкдор создаёт короткий уникальный идентификатор устройства, проверяет его на дубликаты и подключается к предопределённому серверу управления. После установления соединения начинается непрерывный цикл команд, в который входят:

  • сбор сведений о системе;
  • передача и загрузка файлов;
  • выполнение команд оболочки;
  • извлечение информации из профиля Chrome;
  • автоматизированная кража учётных данных.

Бэкдор устроен устойчиво: при возникновении ошибки выполнение переходит к повторному сбору системной информации с задержкой в пять минут, что предотвращает остановку работы при локальных сбоях.

Jamf приписывает эту кампанию операторам FlexibleFerret, известным тем, что они активно совершенствуют приёмы социальной инженерии и используют тактики принуждения пользователей к запуску вредоносных скриптов вручную. Злоумышленники оформляют скрипты в виде «инструкций» или «диагностик», часто маскируя их под рекомендации служб поддержки.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: