В ReaderUpdate для macOS добавлены варианты Go, Crystal, Nim и Rust

Несколько поставщиков начали сообщать о новых вариантах, написанных на языках программирования Crystal, Nim и Rust. Компания SentinelOne обнаружила варианты, написанные на языке Go, и связала их с кластером активности, ответственным за заражение ReaderUpdate. Исследователи выявили, что оригинальный двоичный файл ReaderUpdate обращается к домену C2 и доставляет полезную нагрузку с именем V6QED2Q1WBYVOPE. Данный файл также связан с вариантами ReaderUpdate на языках Crystal, Nim, Rust и Go, которые доставляются через новые домены и созданные временные файлы.

ReaderUpdate также распространяется через программы, загруженные с бесплатных или сторонних сайтов, а иногда через инсталляторы пакетов, содержащие поддельные или троянские утилиты.

Оригинальная версия ReaderUpdate - это двоичный файл Python, включающий среду выполнения Python и использующий ее для доставки скомпилированного Python-скрипта, обфусцированного с помощью pyarmor. В настоящее время доступны пять вариантов ReaderUpdate, скомпилированных из пяти разных языков программирования.

Domains

• airconditionersontop.com
• lakesandinnovations.com
• limitedavailability-show.com
• livingscontinuations.com
• motorcyclesincyprus.com
• simulators-and-cars.com
• slothingpressing.com
• small-inches.com
• strawberriesandmangos.com
• streamingleaksnow.com
• www.entryway.world

SHA1

• 0b689c5677445729c609e284e91c7048a1d8bc11
• 1f6d6c9f3841d0477d8b38a64935e0b58e57605f
• 36ecc371e0ef7ae46f25c137aa0498dfd4ff70b3
• 6461ec3154bec2f4dac27b84951ab28e1287d8c9
• 7aa028fd7350193be167dc772a7eb486c9fa1c17
• 9b7590c4313159810443efcc6648837519b061d6
• b0bbe83895647a1efe6843d1c619059b00f72cf3
• d25eae2de64bb604987db27085d60f3ddf7ca473
• fe9ca39a8c3261a4a81d3da55c02ef3ee2b8863f
• ff6d99505c87876b613d511d8734a9379b826e1a