Компания Mosyle, лидер в сфере управления и защиты устройств Appled выявило новое вредоносного программного обеспечения для Mac под названием JSCoreRunner. На момент обнаружения угроза нулевого дня успешно обходила все системы детектирования на VirusTotal. Распространение происходит через мошеннический сайт fileripple[.]com, предлагающий конвертацию PDF, где пользователей обманом заставляют загрузить программу, внешне выглядящую как безобидная утилита.
Описание
Бесплатные инструменты, обещающие быструю конвертацию файлов HEIC, WebP, PDF и документов Word, стали активно появляться в сети как популярное решение проблем совместимости форматов. Киберпреступники используют эту тенденцию, создавая поддельные сайты, имитирующие легитимные сервисы, для заражения ничего не подозревающих пользователей. Ситуация стала настолько серьезной, что ранее в этом году полевой офис ФБР в Денвере выпустил предупреждение о возросших рисках заражения вредоносным ПО и кражи данных через сайты конвертации файлов, подобные fileripple[.]com.
В некоторых случаях пользователи могут даже не знать, что их система заражена. Согласно исследованию Mosyle, JSCoreRunner развертывается в два этапа. Первый установочный пакет FileRipple.pkg появляется и даже работает как настоящий конвертер PDF, но в фоновом режиме он подготавливает систему для атаки. При установке этот пакет тихо удаляет карантинный атрибут в macOS, который позволяет системе помечать вредоносные пакеты и потенциально блокировать их загрузку. После его отключения загружается второй установщик под названием Safari14.1.2MojaveAuto.pkg, который теперь может беспрепятственно проходить через Gatekeeper, несмотря на отсутствие подписи Apple.
После установки вредоносная программа JSCoreRunner целенаправленно атакует и захватывает браузер Chrome пользователя, изменяя настройки поисковой системы для перенаправления на мошеннический поисковый провайдер. Это открывает возможности для кейлоггинга, перенаправления поисковых запросов на фишинговые сайты и продвижения вредоносных результатов поиска, что в конечном итоге приводит к краже данных и финансовым потерям.
Как отмечается в эксклюзивном пресс-релизе Mosyle, вредоносная программа функционирует как троянское ПО или рекламное ПО. Угроза на момент анализа не детектировалась на VirusTotal, что подчеркивает ее опасность как угрозы нулевого дня, способной обходить существующие меры безопасности. Это демонстрирует важность бдительности и проактивной позиции для администраторов Mac-систем в условиях появления новых развивающихся угроз.
Вредоносная программа работает по двухэтапному процессу. Первый этап представляет собой пакет «FileRipple.pkg», который маскируется под легитимный инструмент для работы с PDF. Для поддержания видимости легитимности вредоносная программа запускает процесс, создающий фальшивое веб-представление, показывающее интерфейс похожего на настоящий PDF-инструмента, в то время как вредоносная активность выполняется незаметно в фоновом режиме. Этот пакет был подписан разработчиком, чья подпись была отозвана Apple, что означает, что macOS должна блокировать его запуск. Однако второй этап, «Safari14.1.2MojaveAuto.pkg», не имеет подписи и по умолчанию не блокируется. Именно он загружается непосредственно с того же домена и исполняет основную вредоносную нагрузку.
После запуска второй стадии выполняется ряд действий по заражению системы. Сначала отправляется запрос на командный сервер для подтверждения установки. Затем идентифицируется реальный пользователь, удаляются карантинные атрибуты и устанавливается путь для выполнения основного бинарного файла.
Основная цель JSCoreRunner на данном этапе - захват браузера пользователя. Вредоносная программа нацелена на профили Google Chrome в macOS, исследуя папку ~/Library/Application Support/Google/Chrome/ для идентификации как профиля по умолчанию, так и любых дополнительных профилей. Она изменяет настройки поисковой системы, создавая новый объект TemplateURL, который определяет URL для поиска, URL новой вкладки и отображаемое имя. Это позволяет перенаправлять пользователей на мошенническую поисковую систему. Чтобы избежать обнаружения и скрыть свою активность, вредоносная программа также передает аргументы в Chrome для скрытия логов о сбоях и уведомлений о восстановлении последней сессии.
Индикаторы компрометации
Domains
- fileripple.com
SHA256
- 23186719325c87eb4e17aae0db502e78fb24598e97c8a9c151d7c347e72c0331
- 35c64a2111c0b8e728ee82db3d727319720e612e9a3dfe85d445f5b90fc1485a
- 3634d1333e958412814806a5d65f1d82536d94cac21ec44b8aba137921ae3709
- 5828ab3abf72c93838a03fb5a9ca271ddbb66ad4b3a950668a22cd8f37ac9b04
- 6c5e51e7aeb1836d801424f20ffd56734cdc35a75ae3cca88002f94c40949a27
- 84f8e3f996cf907f71ee4823c1bc91a82589c5e4fcd98a9084e51b02ad3515dd
- a7a02c6f5073133added3bfc9c67ca385168ba35469752fcddf5e1ed5fcef1ce
- a86fe93e1a4c451c11b628f622b80770f40254de4a050bbe8e4caae7ef89dfa4
