Разработчики вредоносного ПО CloudFake начали использовать среду разработки Tauri, которая призвана устранить недостатки Electron.
CloudFake Malware
Tauri сочетает веб-технологии для фронт-энда и Rust для бэк-энда. В октябре был обнаружен поддельный образ диска Cloudflare Security Authenticator, содержащий вредоносный бинарный файл Tauri под названием cloudflare-auth-tauri. При выполнении этого файла создаются и выполняются другие бинарные файлы Mach-O. Один из этих файлов устанавливает кронтаб и загружает четвертую стадию в виде скрытого файла. Последняя стадия представляет собой образец VShell - кроссплатформенного фреймворка для вредоносного ПО с возможностями C2 и уклонения. Для обнаружения такого вредоносного ПО можно обращать внимание на сетевые коммуникации с IP-адресом 43.156.13.232 и наличие определенных бинарных файлов Mach-O с указанными хешами.
Indicators of Compromise
IPv4
- 43.156.13.232
SHA1
- 4d23cbaf34463167a3c51f04e2f20a607578b118
- 6ab4179d673082ef03d8b200a2a70c251f058d4f
- cb8f4ad08b9715a16158f5897ad51ef38c4cebb1