Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Неизвестный троян распространяется через PDF-файлы (http://txgate.io:443/showthread.php?t=8913)

Artifact 05-02-2025 07:49 PM

Группировка BlueNoroff придумала способ заражения финансовых организаций и инвесторов.
Лаборатория Касперского обнаружила новый вариант вредоносного загрузчика для macOS, предположительно связанный с APT-группировкой BlueNoroff и ее кампанией RustBucket. Группа нацелена на финансовые организации и пользователей, связанных с криптовалютами.
Загрузчик маскировался под PDF-файл в ZIP-архиве, созданный 21 октября 2023 года. На момент обнаружения загрузчик имел легитимную подпись, однако сейчас сертификат уже отозван. Как именно распространялся архив, неизвестно. Возможно, злоумышленники рассылали его жертвам по почте, как и в прошлые свои кампании.
Исполняемый файл, написанный на Swift и названный EdoneViewer, содержал версии для процессоров Intel и Apple Silicon, а вредоносная нагрузка зашифрована с помощью XOR-шифрования.
https://www.securitylab.ru/upload/me...vv5vsu29q3.png
Вредоносная PDF-приманка
Загрузчик выполнял сценарий AppleScript, скачивающий безобидный PDF-файл для отвлечения пользователя и делающий POST-запрос для загрузки троянца (.pw) с сервера управления и контроля (Command and Control, C2), зарегистрированном 20 октября. Троянец собирал и отправлял с интервалом в минуту следующую информацию о системе:<ul><li>имя компьютера;</li>
</ul><ul><li>версию операционной системы;</li>
</ul><ul><li>часовой пояс устройства;</li>
</ul><ul><li>дату запуска устройства;</li>
</ul><ul><li>дату установки операционной системы;</li>
</ul><ul><li>текущее время;</li>
</ul>список выполняющихся в системе процессов.
В ответ троян ожидал команды от сервера на сохранение данных, самоудаление или продолжение ожидания. К сожалению, на момент проведения анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не представилось возможным.
RustBucket представляет собой инструментарий, разработанный северокорейским субъектом угрозы, известным под псевдонимом BlueNoroff. Это только одна из множества киберопераций, отслеживаемых в рамках деятельности элитной хакерской группы Lazarus Group. Lazarus Group, в свою очередь, находится под контролем Главного разведывательного управления (RGB) Северной Кореи, являющегося ключевым разведывательным органом этой страны.
Ранее сообщалось , что вредоносная программа, скомпилированная на Swift, предназначена для загрузки с C2-сервера основной вредоносной программы, двоичного файла на основе Rust с функциями сбора обширной информации, а также получения и запуска дополнительных двоичных файлов Mach-O или оболочек на скомпрометированной системе.


All times are GMT. The time now is 10:30 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.