СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 июля
#Dev#ИБ#Инфра

macOS Stealer MentalPositive: Новое поколение атак на Ledger Live

macOS Stealer MentalPositive: Новое поколение атак на Ledger Live

Источник: labs.k7computing.com

Новый macOS Stealer MentalPositive: угроза для пользователей Ledger Live и криптовалютных кошельков

Специалисты обнаружили новую версию вредоносного ПО для macOS, известного как macOS Stealer от MentalPositive. Эта программа ориентирована на пользователей Ledger Live и, по своей сути, является модернизированным вариантом Atomic macOS Stealer (AMOS), впервые выявленного в 2023 году. Вопросы остаются относительно того, представляет ли новая версия лишь ребрендинг AMOS или же в ней применены инновационные методы, повышающие эффективность атак.

Характеристики и возможности AMOS

AMOS зарекомендовал себя как мощный инструмент кибершпионажа, способный собирать широкий спектр конфиденциальных данных, включая:

  • пароли пользователей;
  • системную информацию;
  • данные из keychains (связок ключей);
  • информацию о криптовалютных кошельках.

Методы распространения AMOS включали:

  • фишинговые атаки;
  • взломанные приложения;
  • контрафактное ПО, маскирующееся под легитимное.

После успешной установки AMOS использовал средства автозапуска и скрытые фоновые процессы для незаметной работы. Собранные данные передавались по зашифрованным каналам связи, а частая смена серверов позволяла избежать детектирования.

Особенности macOS Stealer от MentalPositive

Новое вредоносное ПО внедряет ряд современных техник сокрытия:

  • использование методов “опустошения” Unix-процессов для отключения от управляющего терминала;
  • специальные системные вызовы, завершающие терминальные процессы и предотвращающие интерактивную отладку;
  • обман пользователей с помощью поддельных системных диалогов в момент сбора данных;
  • поддельный запрос пароля администратора под видом законного системного действия с последующей проверкой через локальные механизмы аутентификации;
  • при подтверждении пароля вредоносное ПО получает права администратора для обеспечения продолжающейся активности.

После сбора критичной информации — включая имена пользователей, пароли и ключи от криптокошельков — данные систематизируются в файл information.txt с уникальной подписью. Затем вся информация сжимается в единый архив и удаляется с устройства для минимизации следов.

Расширение целей и методы управления

Разработчики расширили список целей атаки, покрывая широкий спектр криптовалютных кошельков и извлекая информацию из популярных браузеров и их расширений. При этом вредонос отправляет специальные HTTP-запросы с уникальными идентификаторами сборок, такими как JENYA, SHELLS и BARNI, что позволяет злоумышленникам эффективно управлять разными версиями и кампаниями.

Сравнение AMOS и MentalPositive

Основные различия между двумя вариантами stealer заключаются в следующем:

  • Обфускация: AMOS использует передовые методы обфускации, что осложняет анализ кода; в новой версии код более прозрачный, облегчая его изучение;
  • Технологии разработки: AMOS написан на C++ и Go, что обеспечивает модульность и кроссплатформенность; macOS Stealer от MentalPositive использует Objective-C и Swift, оптимизированные для функционирования именно в среде macOS;
  • Текущий этап развития: MentalPositive находится на ранней стадии и, вероятно, будет совершенствоваться с добавлением более продвинутых техник обхода защиты.

Рекомендации и меры предосторожности

С учётом роста числа угроз для пользователей macOS, особенно тех, кто работает с криптовалютой и Ledger Live, эксперты настоятельно рекомендуют быть максимально бдительными:

  • избегать установки неизвестных и неподтверждённых приложений;
  • использовать надежные антивирусные и антишпионские решения;
  • не вводить пароль администратора без крайней необходимости и только в проверенных приложениях;
  • регулярно обновлять системы безопасности и операционную систему macOS;
  • быть внимательными к подозрительной активности и нестандартным запросам приложений.

macOS Stealer от MentalPositive — яркий пример того, как вредоносные программы продолжают эволюционировать, используя новые техники и методы маскировки для кражи данных. Только комплексный подход к безопасности поможет защитить ваши данные и цифровые активы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: