Хакер #305. Многошаговые SQL-инъекции
Сразу несколько ИБ-специалистов сообщили о появлении малвари Mughthesec, заражающей устройства под управлением macOS. Исследователи разошлись во мнениях, относительно того, как давно появился данный вредонос. К примеру, специалист Malwarebytes Томас Рид ( Thomas Reed) считает, что Mughthesec – это новая, более продвинутая версия старого вредоноса OperatorMac, известного довольно давно.
Thanks, Patrick sent me the hash too. Looks like a new variant of something we call OperatorMac (though that may be a bad name).
— Thomas Reed (@thomasareed) August 8, 2017
Другой специалист, пишет, что обнаруживал Mughthesec на MacBook своих родителей еще полгода назад.
I can confirm it’s been there for at least 6 months when I found it on my parents MacBook. I just wiped it but thanks for the write up!
— Neal (@iNeal) August 9, 2017
Как бы то ни было, активность Mughthesec заметили только сейчас, и в настоящее время эксперты пытаются разобраться с тем, как работает адварь (adware). В частности, анализ угрозы провел известный ИБ-специалист компании Synack Патрик Вордл (Patrick Wardle).
По словам Вордла, Mughthesec имеет встроенный механизм, предотвращающий обнаружение антивирусным ПО. Также вредонос подписан действительным сертификатом разработчика Apple, что помогает не вызывать подозрения у GateKeeper.
В настоящее время вредонос распространяется под видом файла Player.dmg, который устанавливает легитимную версию Adobe Flash Player для Mac, а также нежелательное приложение Advanced Mac Cleaner и два расширения для Safari (Safe Finder и Booking.com). Вордл считает, что Mughthesec атакует пользователей через вредоносную рекламу и всплывающие окна на подозрительных сайтах. Скорее всего, операторы вредоноса полагаются на социальную инженерию, то есть угрозе нужно взаимодействие с пользователем, который должен согласиться на загрузку и установку.
Как правило, подобную адварь можно легко удалить из системы, но Mughthesec – не совсем тот случай. Патрик Вордл отмечает, что помимо уже замеченных проблем, злоумышленники могли загрузить на машины жертв столько вредоносных пейлоадов, сколько хотели. Из-за этого специалист советует пострадавшим от Mughthesec пользователям полностью переустановить систему, так как доподлинно неизвестно, сколько еще угроз может быть «на борту» их Mac.
