Специалисты компании Confiant обнаружили, что вредоносные рекламные кампании в США, Италии и Японии распространяют малварь Tarmac, ориентированную на пользователей Mac. Цели вредоноса, равно как и его функциональность, пока не изучены до конца.
Атака начинается с того, что вредоносная реклама запускает вредоносный код в браузере жертвы и перенаправляет ее на сайт, показывающий всплывающие окно, гласящее, что пользователю необходимо срочно установить обновление ПО (как правило, это Adobe Flash Player). Попавшиеся на этот трюк пользователи, разумеется, получают не обновление, а сразу два вредоноса: OSX/Shlayer, а также OSX/Tarmac.
По данным Confiant, эта рекламная кампания по распространению Shlayer и Tarmac активна с января текущего года. Примечательно, что исследователи компании писали о Shlayer еще прошлой зимой, однако тогда им не удалось обнаружить Tarmac. Теперь специалисты дополнили свой отчет об этой по-прежнему активной кампании и ее полезной нагрузке.
Tarmac выступает пейлоадом второй фазы заражения, то есть вступает в дело уже после Shlayer. Все версии Tarmac, обнаруженные исследователем, оказались относительно старыми, а управляющие серверы к моменту обнаружения малвари не работали (скорее всего, было перемещены в другое место). Это затруднило анализ угрозы, и исследователям не удалось разобраться до конца в том, как работает Tarmac.
На данный момент известно, что на зараженные Shlayer хосты в итоге устанавливается Tarmac, который собирает сведения о настройках и оборудовании жертвы, а затем передает эту информацию на свой управляющий сервер. После малварь ожидает новых команд, но так как C&C серверы не работали, определить функциональные возможности вредоноса пока не удалось. Эксперты полагают, что угроза может оказаться весьма опасной, способной загружать и устанавливать дополнительные приложения, и собираются продолжить исследование.
Исследователи добавляют, что пейлоады Tarmac подписаны легитимными сертификатами Apple developer, и в итоге Gatekeeper и XProtect не останавливают установку малвари и не отображают каких-либо предупреждений.