Широкоизвестная вредоносная программа «Snake» была портирована на Mac
Новости Отредактировано
Snake является вредоносным фреймворком для направленных атак. Раньше были известны версии малвари для Windows и Linux, но недавно нашлась и «яблочная».
686 открытий716 показов
Snake, также известный как Turla, Uroburos и Agent.BTZ, является сложным вредоносным фреймворком для направленных атак. Ранее фреймворк был нацелен только на Windows. В 2014 году его версия появилась и на Linux-системах. Теперь же появилась и модификация для macOS.
О вирусе Snake
По мнению экспертов из Fox-IT и Palo Alto Networks, троян был разработан российской группировкой Turla. Вирус является заменой трояну Uroburos, который был уничтожен в 2014 году исследователями из G Data. Троян разработан с помощью .NET Framework, существуют версии для Windows, Mac и Linux. Версия для Windows была названа Kazuar, исходный код которой указывает на существование этого вируса для Linux. Mac-версия же получила название Snake.
Принцип работы
Данный вирус работает по известному принципу. Он обращается за командами к C&C-серверу по вшитому адресу. Особенностью этого трояна является команда remote. Она запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Таким образом атакующий сервер может в любое время отправлять команды вирусу.
У такого подхода есть два плюса:
- Возможность для атакующего сервера мигрировать на другой C&C-сервер.
- Вирус способен обходить некоторые решения безопасности.
Функциональность
Для версии под Windows архитектура Snake состояла из драйвера ядра, который скрывал присутствие компонентов Snake и предоставлял низкоуровневый доступ к сетям.
Версия для macOS является портом с Windows. По прежнему присутствуют ссылки в двоичном виде на проводник, Internet Explorer и именованные каналы.
Установка
Код Snake находится внутри архива Adobe Flash Player.app.zip, который является взломанной версией установщика Flash Player.
Код скрипта install.sh:
Вызываемый файл installd.sh cодержит следующий код:
Оболочка скрипта проверяет, запущен ли installdp, и запускает его в обратном случае:
Поддержка
Лазейка поддерживается с помощью службы LaunchDaemon:
Влияние
Apple весьма быстро решили проблему с этим вирусом путем отмены сертификата, поэтому данный установщик не несет никакой опасности.
Однако, если вы были инфицированы, то стоит помнить, что могли быть украдены ваши файлы и пароли. В связи с этим следует очистить компьютер от вируса, а затем заменить все свои пароли.
686 открытий716 показов