Статья Опасный бэкдор macOS, который крадет личные данные пользователей, остается не выявленным в течение многих лет

AnnaDavydova

AnnaDavydova

Перевожу для codeby
06.08.2016
98
714


Бэкдор операционной системы Mac, получивший название Calisto, остается не выявленным при помощи радара антивирусных решений на протяжении многих лет. Вредоносная программа сначала загрузилась в virustotal в 2016г и оставалась не выявленной до мая 2018г.

Исследователи безопасности из лаборатории выявили в образце вредоносной программы macOS подозрительно знакомые свойства, такие как удаленный вход, демонстрация экрана, удаленный вход и скрытый root аккаунт.

Дистрибутив Calisto и установка

Установочный файл Calisto можно рассматривать как неподписанный образ DMG, который представляет собой ведущее программное обеспечение для предоставления безопасности Mac и антивирусное программное обеспечение Intego для Mac.

Субъекты, создающие угрозу, сделали вредоносное программное обеспечение macOS более убедительным, и только пользователь, который уже установил приложение, может определить разницу.



Как и любое другое приложение, он начинает установку с принятия лицензии, при следующем шаге он запрашивает имя пользователя и пароль. Как только пользователь предоставляет свои личные данные, он показывает, что установка не удалась и просит у пользователя новый установочный пакет с официального сайта.

Активность Calisto на компьютере с поддержкой SIP ограничена, и ему не удастся изменить системные файлы. На зараженной машине создается скрытая папка. Callisto для хранения данных Keychain, учетных данных для входа, сведений о сетевом соединении и данных Google Chrome.

На машине отключенным SIP он выполняет множество других операций, которые включают

Копирование себя в папку / System / Library /
Устанавливает себя в автоматический запуск при включении
Отключает и удаляет образ DMG
Добавляет себя к доступности
Собирает дополнительную информацию о системе
Включает удаленный доступ к системе
Направляет собранные данные на сервер C&C



Согласно исследователям выяснилось, что бэкдор Calisto очень похож на , который крадет личные данные пользователя и контент Keychain.

Чтобы защитить свой компьютер от Calisto и его аналогов, никогда не отключайте SIP, обновляйте свою операционную систему до последней версии, запускайте приложение только из надежного источника и используйте известный антивирус.

Источник:
 
  • Нравится
Реакции: Vertigo и CyberX
Мы в соцсетях: