どうやら, 2人の研究者, コリン・アンダーソンとクラウディオ・グアニエリ, イランの国営ハッカーによって作成されたと思われるMacマルウェアに遭遇しました. 研究者は 特定のレポート マルウェアについて詳しく説明します.
彼らの発見は、政府が活動家の動きを追跡し、混乱させるために行く深さを強調しています.
MacDownloaderがAdobeFlashのインストーラーを装う, 研究者は言う
macOSマルウェアエージェント, MacDownloaderという名前, 防衛産業基地を標的として野生で観察された, 人権擁護者に対して使用されたと他の場所で報告された. MacDownloaderは奇妙なことにAdobeFlashの両方のインストーラーを装おうとします, だけでなく、Bitdefenderアドウェア除去ツール, システム情報とOSXキーチェーンデータベースのコピーを抽出するため.
関連している: OSX.Pirrit –Macを危険にさらすマルウェアアドウェア
インフラストラクチャに関する彼らの観察に基づく, とコードの状態, AndersonとGuarnieriは、観察されたインシデントがマルウェアを展開する最初の試みであると信じています. 幸いなことに、脅威は永続的でも洗練されたものでもありません. でも, コーダーが「より広い野心」.
MacDownloaderは洗練されていませんが、それでも危険です
研究者たちは、公教育と情報共有の目的で、現在のイランの活動に関する情報を開示しています。. MacDownloaderは明らかに洗練されたタイプの脅威ではありませんが、突然の出現が懸念されています, 専門家は追加します. 特定のコミュニティでのAppleマシンの人気は憂慮すべきです, これらのマシンはWindowsシステムよりも安全であるという幅広い不信とともに.
MacDownloaderが採用しているアプローチは、以前に研究者が監視していたExtremeDownloaderと非常によく似ています。. 「「テスト被害者のデータとコード参照の公開は、マルウェアの開発に関する独自の洞察を提供します, 長い休眠中の脅威グループによって開発されたエージェントとの潜在的なつながり,」2人は結論します.
関連している: ショウジョウバエ, のための最初のMacマルウェア 2017 研究者によってひびが入った
MacDownloaderは偽のFlashアップデートとしてインストールされます. インストールしたら, 外部サーバーに接続します, おそらく展開のために追加のモジュールを取得する. その間, マルウェアは、ハッカーによって制御されているリモートサーバーに一部のシステム情報を吸い上げます. この情報には、Macのキーチェーンフォルダの内容とインストールされているアプリのリストが含まれています. この脅威は、システムのユーザー名とパスワードを要求する偽のプロンプトボックスも作成します. この情報はハッカーにも送信されます:
ユーザーの資格情報で武装, 攻撃者は、キーチェーンデータベース内に保存されている暗号化されたパスワードにアクセスできるようになります。. ChromeとFirefoxはキーチェーンにクレデンシャルを保存しませんが, SafariとmacOSのシステムサービスはパスワードをサイトに保存します, リモートファイルシステム, 暗号化されたドライブ, およびその他の基準リソース.