Зловред DarthMiner внедряет на машины c macOS бэкдор, который может стать подспорьем для других вредоносных кампаний.
Вредоносный скрипт, который маскируется под пиратскую программу и устанавливает майнер криптовалюты, обнаружили исследователи из компании Malwarebytes. Приложение атакует компьютеры под управлением macOS и внедряет на инфицированную систему свободно распространяемый бэкдор. По словам ИБ-специалистов, зловред может загрузить инструмент для перехвата HTTP/HTTPS-трафика, однако пока эта функция отключена.
Вредоносная программа попадает на компьютер под видом Adobe Zii — пиратской утилиты, предназначенной для взлома пакета Adobe Creative Cloud. После активации она загружает и выполняет на устройстве Python-сценарий и запускает приложение sample.app — одну из версий Adobe Zii. Основной скрипт обфусцирован и предназначен для установки бэкдора, основанного на opensource-разработке EmPyre.
В первую очередь зловред ищет на компьютере брандмауэр Little Snitch, и в случае его обнаружения прекращает работу. Исследователи отмечают, что эта проверка лишена смысла, поскольку большинство межсетевых экранов заблокировали бы вредоносный скрипт сразу после загрузки.
Открыв соединение с сервером EmPyre, программа создает агент автозагрузки и доставляет на компьютер майнер XMRig. Зловред также может установить приложение mitmproxy, предназначенное для перехвата и изменения трафика на зараженном устройстве. В данный момент эта опция в скрипте отключена.
В октябре этого года mitmproxy уже задействовали в атаках на компьютеры под управлением macOS. Злоумышленники использовали утилиту в кампании OSX.SearchAwesome для внедрения рекламных баннеров на страницы, загружаемые пользователем по протоколам HTTP и HTTPS. Как отмечают ИБ-специалисты, подобные программы позволяют внедрять майнеры в любой интернет-контент в браузере или перенаправлять жертву на вредоносные ресурсы.