"1"

Дослідники ESET виявили нову малваре для macOS. Шифрувальник Patcher написаний на Swift і поширюється переважно через торрент-трекери, маскуючись під кряк для Adobe Premiere Pro або Microsoft Office for Mac та іншого софту. Якщо користувач завантажує такий файл через торрент, він виявляє ZIP-архів, що містить бінарник, чия назва закінчується словом Patcher.

"2"

Якщо жертва запустить кряк, з’явиться порожнє вікно, що містить одну тільки кнопку Start. У цей момент ще не пізно закрити вікно, так як процес шифрування запускається після натискання Start.

"3"

Фахівці ESET пишуть, що Patcher використовує arc4random_uniform і генерує випадкове значення, довжиною 25 символів, яке застосовується в якості ключа шифрування для всіх призначених для користувача файлів. Проблема в тому, що шифрувальник не передає цей ключ на керуючий сервер. У коді малварі взагалі немає нічого, що могло б використовуватися для зв’язку з C & C-сервером. Так що у операторів шкідливого просто немає можливості відновити дані постраждалих. Гірше того, ключ досить довгий, щоб його було практично неможливо підібрати за допомогою брутфорсу.

Patcher залишає файл README!.txt, що містить повідомлення з вимогою викупу, у всіх постраждалих директоріях, причому файл жорстко закодований в код малварі, тобто вказаний в повідомленні біткоін-гаманець єдиний для всіх користувачів. Дослідники повідомляють, що в даний момент грошей на вказаний гаманець ще не перерахував ніхто.

Також оператори малварі вказують для зв’язку email-адреси, надані сервісом Mailinator. Так як Mailinator не вимагає авторизації і реєстрації, переглядати вміст скриньки може хто завгодно. Експерт ESET пишуть, що спостерігали за скринькою весь останній тиждень, але так і не побачили жодного повідомлення, хоча, можливо, оператори малварі просто видаляють їх занадто швидко.

На закінчення дослідники відзначають, що Patcher «безумовно не шедевр», а скачування піратського ПЗ через сумнівні канали завжди істотно підвищує ризик зараження малваре.

Нагадаємо також про виявлення уразливості в GarageBand, що дозволяє виконати довільний код на Мас.

Коментарі закрито.

Поділитися

Инвесторами Apple являются сенаторы США

Для инновационного развития каждой компании необходимы инвестиции, даже компании с самой высокой рыночной капитализацией. Сегодня в Сети появилась информация о «непростых» инвесторах Apple, говоря точнее, о членах Конгресса США. Данным с читателями поделился беспартийный источник – исследовательская организация города Беркли (Калифорния) MapLight. Согласно опубликованной таблице, 48 сенаторов и членов их семей являются держателями акций компании из […]

Apple розробляє технологію зчитування відбитку пальця без спеціального датчика

З моменту виходу iPhone 7 і iPhone 7 Plus в мережі почали активно обговорювати, чим же компанія Apple буде дивувати публіку на наступній презентації. В цьому році iPhone виповнилося 10 років, і тому багато хто очікує на кардинальні зміни. За останніми чутками, у вересні Apple випустить одразу три моделі, дві з яких будуть спадкоємцями iPhone […]

Apple заблокировала аккаунты разработчиков в Крыму

В связи с санкциями, направленными США против жителей Крыма, все забугорные компании должны прекратить свою деятельность на полуострове. Буквально вчера Steam перестал продавать игры жителям Республики, а сегодня все крымские разработчики, которые пользовались developer.apple.com, заблокированы на этом сайте.