Security Bite эксклюзивно предоставлен вам Mosyle, единственная унифицированная платформа Apple. Все, что мы делаем, — это обеспечить готовность устройств Apple к работе и безопасность на предприятии. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе самые современные решения безопасности Apple для полностью автоматизированной защиты и соответствия требованиям, EDR следующего поколения, нулевого доверия на базе искусственного интеллекта и эксклюзивного управления привилегиями с самой мощной и современной Apple MDM. на рынке. Результатом стала полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, которая позволяет подготовить к работе миллионы устройств Apple без каких-либо усилий и по доступной цене. Запросите РАСШИРЕННУЮ ПРОБНУЮ ПРОБНУЮ ВЕРСИЮ сегодня и поймете, почему Mosyle — это все, что вам нужно для работы с Apple.

В специальном выпуске этой недели Компания Mosyle, лидер в области управления устройствами и безопасности Apple, эксклюзивно рассказала подробности о новом семействе загрузчиков вредоносного ПО для Mac. Группа исследования безопасности Mosyle обнаружила, что эти новые угрозы написаны на нетрадиционных языках программирования и используют несколько других хитрых методов, чтобы избежать обнаружения.

Загрузчик вредоносного ПО — это, по сути, «нога в двери» для киберпреступников. Его основная цель — тайно установить первоначальное присутствие в системе и создать путь для загрузки более разрушительного вредоносного ПО.

Новые образцы загрузчика, обнаруженные ранее в этом месяце, были разработаны с использованием Nim, Crystal и Rust — языков программирования, которые обычно не используются для разработки вредоносных программ. Наиболее распространены Objective-C, C++ и Bash. Этот необычный подход предполагает, что злоумышленники намеренно пытаются обойти традиционные методы обнаружения вирусов.

Хотя этот подход является скрытным, я скептически отношусь к тому, что он станет широко распространенной тенденцией. Киберпреступникам сложно использовать менее популярные языки программирования, такие как Nim или Rust. Эти языки, вероятно, имеют более сложные процессы компиляции, чем проверенные варианты, такие как C и Bash, и содержат меньше готовых библиотек и инструментов. Более крутая кривая обучения и более сложная отладка означают, что преступники с большей вероятностью случайно оставят цифровые хлебные крошки, которые могут раскрыть их вредоносное ПО. В конце концов, даже киберпреступники хотят, чтобы их код работал гладко, а сейчас эти экспериментальные языки значительно усложняют эту задачу.

Другие тактики уклонения наблюдались:

  • Сохранение через механизм launchctl macOS
  • Многочасовые интервалы сна
  • Проверка каталога перед передачей данных

Согласно исследованию Mosyle, кампания по распространению вредоносного ПО находится на ранней стадии и потенциально ориентирована на разведку. Данные телеметрии показывают, что образцы поступили из систем в Болгарии и США.

Самое тревожное, что образцы оставались незамеченными VirusTotal в течение нескольких дней после их первоначального обнаружения.

Ниже приведены хэши трех образцов вредоносного ПО с соответствующими доменами управления и контроля (C2):

Ним Сэмпл

Домен C2: клубника и манго.[.]ком

Хэш: f1c312c20dbef6f82dc5d3611cdcd80a2741819871f10f3109dea65dbaf20b07

Образец кристалла

Домен C2: мотоциклы на Кипре.[.]ком

Хэш: 2c7adb7bb10898badf6b08938a3920fa4d301f8a150aa1122ea5d7394e0cd702

Образец ржавчины

Домен C2: кондиционер[.]ком

Хэш: 24852ddee0e9d0288ca848dab379f5d6d051cb5f0b26d73545011a8d4cff4066

Команда безопасности Mosyle продолжает активно отслеживать и исследовать эти угрозы. Я продолжу предоставлять здесь обновления по мере того, как мы узнаем больше. [.] должны помочь предотвратить активное нажатие на домены. Команда Мойсла сообщила мне, что эти серверы C2 все еще могут быть активны.

Более: В третьем квартале 2024 года количество групп, занимающихся программами-вымогателями, увеличилось, а их доминирование изменилось.

ФСледуй за Арин: Твиттер/ХLinkedIn, Темы

Информация о безопасности: Mosyle идентифицирует новые загрузчики вредоносных программ, написанные на нетрадиционных языках [Exclusive]

©