Sikkerhed forskere har opdaget et nyt stykke af Mac-malware, men nogle af dens formål, og alle funktioner vil forblive et mysterium for lidt længere tid.
Opkaldt Asfalt (OSX/Asfalt), dette nye malware, som blev uddelt til macOS brugere via online malvertising (ondsindede annoncer) kampagner.
Disse ondsindede annoncer løb rogue kode inde i en Mac-brugers browser til at omdirigere de ønsker at blive offer for websteder, der viser pop op-vinduer nye software opdateringer-normalt til Adobe ‘ s Flash Player.
Ofre, der faldt for dette trick og hentede Flash Player opdatering, ville ende med at installere en malware duo på deres systemer — første OSX/Shlayer malware, og så er OSX/Asfalt, som blev lanceret af den første.
Distribueret siden januar 2019
Dette malvertising kampagne distribuere Shlayer+Asfalt combo startede i januar i år, efter at Taha Karim, en sikkerhedsekspert hos Confiant.
Confiant offentliggjort en rapport om januar 2019 malvertising kampagne på den tid; de er dog kun spottet Shlayer malware, men ikke Asfalteret.
Men i en follow-up rapport, der blev offentliggjort for to uger siden, Confiant gravet dybere i den — stadig igangværende — malvertising kampagnen og dens nyttelast.
Dette er, hvordan Karim fandt Asfalten, som en second-stage nyttelast for den oprindelige Shlayer infektion. Men Asfalten versioner forskeren identificeret var relativt gamle, og malware oprindelige command and control-servere var blevet lukket ned, — eller sandsynligvis flyttet til en ny placering. Dette hindres analyse, som Karim var ikke i stand til at få fuld indsigt i, hvordan Asfalten drives.
Alle, der er kendt på det tidspunkt er, at efter Shlayer downloader og installerer Asfalt på inficerede værter, Asfalt samler oplysninger om offer ‘ s hardware setup og sender denne info til sin kommando og kontrol-server.
På dette punkt, Asfalt ville vente på nye kommandoer. Men da disse servere er ikke tilgængelige, Karim var ikke i stand til at bestemme den fulde omfang bag Asfalt.
I teorien, de fleste med anden etape af malware stammer er som regel meget kraftfuld malware stammer, der besidder mange påtrængende funktioner. Asfalt, bør, i hvert fald i teorien, være en meget farlig trussel.
Men for tiden, mysteriet forbliver.
Asfalt distribueret til OS, italiensk og Japansk brugere
Men mens Asfalten er komplet sæt af funktioner, der endnu mangler at blive afdækket, kender vi nogle oplysninger om, hvem der kan have fået smittet.
I et interview i dag, Karim fortalte ZDNet, at malvertising kampagne, der uddelt Shlayer og Asfalt combo blev geo-målrettet mod brugere, er placeret i USA, Italien, og Japan.
Mens USA og Japan er regelmæssige mål for malvertising og malware kampagner, Italien er noget af et mærkeligt valg.
“Vi tror, at aktører fortsætte ved trial and error, og de kan have fundet et skønt sted i Italien, mellem den fortjeneste, de kan høste og den grad af opmærksomhed fra den sikkerhed, fællesskab,” Karim fortalte ZDNet.
Da Asfalten nyttelast kommer underskrevet af legitime Apple developer certifikater, funktioner som Gatekeeper og XProtect ikke vil stoppe sin installation eller viser nogen fejl.
Brugere og virksomheder, som ønsker at se, om de har haft Mac-systemer er inficeret med denne malware kan finde indikatorer på kompromis (IoCs) i Karim ‘ s Asfalt rapport.
Sikkerhed
DNS-over-HTTPS skaber flere problemer end det løser, siger eksperter
FBI advarer om angreb, der bypass multi-faktor-autentificering (MFA)
Hvid-hat hacks Muhstik ransomware bande og udgivelser dekryptering nøgler
Mark Zuckerberg mener, at han er så misforstået (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
De fleste Fortune 500 selskaber stadig uigennemsigtige om sikkerhedsforanstaltninger (TechRepublic)
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre