• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Опасный бэкдор macOS, который крадет личные данные пользователей, остается не выявленным в течение многих лет

AnnaDavydova

Перевожу для codeby
06.08.2016
88
484
#1


Бэкдор операционной системы Mac, получивший название Calisto, остается не выявленным при помощи радара антивирусных решений на протяжении многих лет. Вредоносная программа сначала загрузилась в virustotal в 2016г и оставалась не выявленной до мая 2018г.

Исследователи безопасности из лаборатории
Для просмотра контента необходимо: Войти или зарегистрироваться
выявили в образце вредоносной программы macOS подозрительно знакомые свойства, такие как удаленный вход, демонстрация экрана, удаленный вход и скрытый root аккаунт.

Дистрибутив Calisto и установка

Установочный файл Calisto можно рассматривать как неподписанный образ DMG, который представляет собой ведущее программное обеспечение для предоставления безопасности Mac и антивирусное программное обеспечение Intego для Mac.

Субъекты, создающие угрозу, сделали вредоносное программное обеспечение macOS более убедительным, и только пользователь, который уже установил приложение, может определить разницу.



Как и любое другое приложение, он начинает установку с принятия лицензии, при следующем шаге он запрашивает имя пользователя и пароль. Как только пользователь предоставляет свои личные данные, он показывает, что установка не удалась и просит у пользователя новый установочный пакет с официального сайта.

Активность Calisto на компьютере с поддержкой SIP ограничена, и ему не удастся изменить системные файлы. На зараженной машине создается скрытая папка. Callisto для хранения данных Keychain, учетных данных для входа, сведений о сетевом соединении и данных Google Chrome.

На машине отключенным SIP он выполняет множество других операций, которые включают

Копирование себя в папку / System / Library /
Устанавливает себя в автоматический запуск при включении
Отключает и удаляет образ DMG
Добавляет себя к доступности
Собирает дополнительную информацию о системе
Включает удаленный доступ к системе
Направляет собранные данные на сервер C&C



Согласно исследователям выяснилось, что бэкдор Calisto очень похож на
Для просмотра контента необходимо: Войти или зарегистрироваться
, который крадет личные данные пользователя и контент Keychain.

Чтобы защитить свой компьютер от Calisto и его аналогов, никогда не отключайте SIP, обновляйте свою операционную систему до последней версии, запускайте приложение только из надежного источника и используйте известный антивирус.

Источник:
Для просмотра контента необходимо: Войти или зарегистрироваться
 
Вверх Снизу