В даркнете предлагается новое шпионское и вымогательское ПО для Mac
13.06.2017
Исследователям безопасности наконец-то удалось изучить образцы двух новых вредоносных семейств для Mac, в течение трех недель сдававшиеся в аренду на подпольных порталах. Оба портала были запущены 25 мая и обнаружены Каталином Кимпану (Catalin Cimpanu) из Bleeping Computer.
Первый сайт под названием MacSpy предлагает шпионское ПО для Mac по бизнес модели "вредоносное ПО как услуга" (Malware-as-a-Service, MaaS). Второй ресурс, MacRansom, предлагает вымогательские программы по уже ставшей классической схеме "вымогательское ПО как услуга" (Ransomware-as-a-Service, RaaS). Оба вредоноса созданы одним и тем же разработчиком, а сайты на первый взгляд кажутся идентичными.
Ресурсы являются "закрытыми", то есть, для обсуждения оплаты и получения демо-версии программ потенциальные клиенты должны связаться непосредственно с их автором. Bleeping Computer это не удалось, зато ИБ-эксперты из Fortinet и AlienVault все же заполучили образцы MacRansom и MacSpy соответственно.
Исследователи обеих компаний проанализировали вредоносы и пришли к одному и тому же выводу – их автором является малоопытный разработчик. Несмотря на создание MaaS-портала, он уделил мало внимания качеству своего продукта, к примеру, код MacSpy был скопирован из Stack Overflow. И у MacSpy, и у MacRansom отсутствуют цифровые подписи, поэтому попытка их выполнения на macOS со стандартными настройками вызовет появление уведомлений безопасности. MacRansom не подключается к C&C-серверу, а значит, возможность восстановить зашифрованные файлы отсутствует.
В настоящее время какие-либо вредоносные кампании с использованием вышеупомянутых программ зафиксированы не были. Вероятно, это связано со сложным процессом, который должны пройти потенциальные клиенты перед тем, как получить ПО.
Stack Overflow – популярная система вопросов и ответов о программировании, разработанная Джоэлем Спольски и Джеффом Этвудом в 2008 году.
