Обнаружение PasivRobber: угроза для пользователей macOS
Источник: blog.kandji.io
13 марта 2025 года на платформе VirusTotal был выявлен подозрительный файл под названием «wsus». После первичного анализа выяснилось, что данный файл является частью более обширного набора, состоящего из более чем 20 двоичных файлов. Эти файлы предназначены для сбора данных из систем и приложений macOS, особенно среди пользователей в Китае, таких как WeChat и QQ.
Замаскированный вредоносный код
Основной двоичный файл, ответственный за запуск всего пакета, был идентифицирован как «goed». Это – вариант допустимого демона Apple «geod», имеющий ошибку в написании. Данный файл маскируется под законный компонент системы macOS LaunchDaemon, создавая несуществующий объект «com.apple.goed».
Методы скрытности и обфускации
Дальнейшее исследование показало, что пакет использует следующие методы для укрытия своего присутствия:
- Обфускация динамических библиотек с расширением «.gz» вместо привычного «.dylib»;
- Обманчивое именование, чтобы скрыть свою истинную природу;
- Использование низкоуровневых системных запросов для извлечения данных.
Происхождение и цели пакета
Анализ в открытых источниках установил, что данное программное обеспечение имеет китайское происхождение и ориентировано на конкретную демографическую группу. По имеющимся данным, этот метод может использоваться в качестве инструмента наблюдения.
Программное обеспечение, судя по всему, было разработано организациями, связанными с «Meiya Pico», известной компанией, предоставляющей решения для наблюдения в интересах китайских властей. Ранее эта компания уже реализовывала проекты, направленные на контроль граждан в таких регионах, как Синьцзян.
Технические особенности и возможности пакета
Установочный пакет Mach-O был подписан «weihu chen» и включает в себя просчитанный этап предварительной установки, необходимый для обеспечения устойчивости в целевой системе. Этот процесс включает:
- Удаление конфликтующих приложений;
- Проверку версии macOS.
Сложность приложения заключается в наличии множества двоичных файлов, приводящих в действие другие файлы и загружающих динамические библиотеки. Именно это побудило аналитиков назвать его «PasivRobber».
Функции сбора данных и эксфиляция
Функциональность пакета включает:
- Извлечение конфиденциальной информации из файловой системы;
- Сбор учетных данных из популярных мессенджеров;
- Захват экрана с использованием Core Graphics framework, активируемый при выполнении определенных условий, например, при переходе системы в спящий режим.
Выводы и рекомендации
«PasivRobber» представляет собой серьезную угрозу, демонстрирующую передовые технологии и высокую степень понимания внутренней структуры macOS. Существуют данные о постоянном развитии этих приложений с целью повышения эффективности сбора данных.
Эксперты призывают к постоянному мониторингу обновлений и изменений, связанных с данной угрозой, и рекомендуют пользователям macOS быть особенно внимательными к неизвестным файлам и приложениям.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
