Широкоизвестная вредоносная программа «Snake» была портирована на Mac

Snake

Snake, также известный как Turla, Uroburos и Agent.BTZ, является сложным вредоносным фреймворком для направленных атак. Ранее фреймворк был нацелен только на Windows. В 2014 году его версия появилась и на Linux-системах. Теперь же появилась и модификация для macOS.

О вирусе Snake

По мнению экспертов из Fox-IT и Palo Alto Networks, троян был разработан российской группировкой Turla. Вирус является заменой трояну Uroburos, который был уничтожен в 2014 году исследователями из G Data. Троян разработан с помощью .NET Framework, существуют версии для Windows, Mac и Linux. Версия для Windows была названа Kazuar, исходный код которой указывает на существование этого вируса для Linux. Mac-версия же получила название Snake.

Принцип работы

Данный вирус работает по известному принципу. Он обращается за командами к C&C-серверу по вшитому адресу. Особенностью этого трояна является команда remote. Она запускает web-сервер на зараженном хосте, предоставляя API для удаленных соединений. Таким образом атакующий сервер может в любое время отправлять команды вирусу.

У такого подхода есть два плюса:

  1. Возможность для атакующего сервера мигрировать на другой C&C-сервер.
  2. Вирус способен обходить некоторые решения безопасности.

Функциональность

Для версии под Windows архитектура Snake состояла из драйвера ядра, который скрывал присутствие компонентов Snake и предоставлял низкоуровневый доступ к сетям.

Версия для macOS является портом с Windows. По прежнему присутствуют ссылки в двоичном виде на проводник, Internet Explorer и именованные каналы.

Установка

Код Snake находится внутри архива Adobe Flash Player.app.zip, который является взломанной версией установщика Flash Player.

Код скрипта install.sh:

Вызываемый файл installd.sh cодержит следующий код:

Оболочка скрипта проверяет, запущен ли installdp, и запускает его в обратном случае:

Поддержка

Лазейка поддерживается с помощью службы LaunchDaemon:

Влияние

Apple весьма быстро решили проблему с этим вирусом путем отмены сертификата, поэтому данный установщик не несет никакой опасности.

Однако, если вы были инфицированы, то стоит помнить, что могли быть украдены ваши файлы и пароли. В связи с этим следует очистить компьютер от вируса, а затем заменить все свои пароли.

Источник: MacRumors