СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.03.2025
#Dev#ИБ#Инфра

ReaderUpdate: Ужасные угрозы для macOS в 2024 году

ReaderUpdate: Ужасные угрозы для macOS в 2024 году

Источник: www.sentinelone.com

ReaderUpdate – это загрузчик вредоносных программ для macOS, который впервые появился в 2020 году. Используя различные языки программирования, такие как Python, Crystal, Nim, Rust и Go, ReaderUpdate стал серьезной угрозой для пользователей. Изначально связанный с рекламным ПО, таким как Genieo (DOLITTLE, MaxOfferDeal), с течением времени он эволюционировал и обзавелся более сложными функциями, что делает его еще опаснее.

Как работает ReaderUpdate?

Первоначальная версия ReaderUpdate представлена в виде исполняемого файла Mach-O размером 5,63 МБ. Обычно она располагается в папке поддержки приложений пользователя и включает среду выполнения Python для запуска запутанных сценариев. Основные этапы работы вредоносной программы следующие:

  • Сбор информации об аппаратном обеспечении через команду system_profiler SPHardwareDataType.
  • Создание уникального идентификатора для каждой зараженной машины.
  • Проверка наличия папки в ~/Library/Application Support/.
  • Установка постоянного присутствия через создание файла .plist в каталоге LaunchAgents.
  • Связывание с сервером управления (C2) по адресу www.entryway.world.

Уязвимости и методы распространения

ReaderUpdate показывает свои слабые места в конструктивных особенностях: если папка LaunchAgents отсутствует, программа не сможет запуститься должным образом. Вредоносное ПО распространяется через:

  • Бесплатное программное обеспечение.
  • Троянские утилиты, возможно, загружаемые с сайтов.

Текущие версии и защита

По данным, в 2024 году появились новые версии ReaderUpdate, написанные на Crystal, Nim, Rust и Go. Версия, написанная на Go, оказалась менее распространенной и включала девять образцов, связанных с различными доменами. Несмотря на это, все версии сохраняют определенное сходство, что может помочь в их обнаружении.

«Платформа SentinelOne Singularity утверждает, что идентифицирует все известные версии этого вредоносного ПО», — отметили эксперты в области кибербезопасности. Организациям настоятельно рекомендуется постоянно отслеживать признаки взлома, чтобы защищаться от этой постоянной угрозы.

Заключение

ReaderUpdate представляет собой серьезную угрозу для пользователей macOS, и его сложные механизмы обфускации затрудняют процесс обнаружения. Постоянная бдительность и профилактика являются ключевыми факторами для защиты от этого вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: