Недавно найденный вредоносный ПО для OS X намекает на возвращение Hacking Team

Hacking Team может вернуться с новым вредоносным ПО для Mac OS X

Недавно обнаруженный новый образец вредоносного ПО для OS X предполагает, что он может исходить от Hacking Team, спорной итальянской компании, продающей программное обеспечение для слежки правительствам. Продавец эксплойтов возвращается на рынок после катастрофической кибератаки, в ходе которой их данные были обнародованы, включая исходный код для всего их программного обеспечения.

Согласно данным исследователей безопасности, найденное в дикой природе вредоносное ПО для OS X, вероятно, является новой версией старого вредоносного ПО Hacking Team для Mac. Образец, по их словам, в основном состоит из того же кода, что и старое вредоносное ПО Hacking Team для Mac OS X, но имеет новые компоненты, которые помогают ему оставаться незамеченным.

Исследователи также отмечают, что вредоносное ПО устанавливает копию платформы компрометации Remote Code Systems (RCS) компании, что заставляет их полагать, что печально известная, спорная итальянская фирма вернулась.

Вредоносное ПО устанавливает различные программы на компьютер. На этот раз вредоносное ПО является «дроппером», который используется для установки другого программного обеспечения на компьютер и, похоже, устанавливает RCS Hacking Team. «Дроппер использует более-менее те же техники, что и старые образцы RCS Hacking Team, и его код более-менее тот же», — написал исследователь безопасности Педро Вилака.

Hacking Team пострадала от массового взлома своей сети в прошлом июле, когда почти 400 ГБ данных, включая конфиденциальную информацию, такую как отношения компании с правительствами, электронные письма, исходный код и эксплойты, были опубликованы в интернете. Группа с тех пор загадочно молчала. «Либо это старый образец, либо HackingTeam все еще использует ту же кодовую базу, что и до взлома», — написал Вилака. Группу также обвиняли в прошлом правозащитные организации в продаже своего программного обеспечения правительствам с плохими показателями в области прав человека.

В начале этого месяца новый образец трояна на базе OS X под названием «Morcut» был загружен на VirusTotal, принадлежащий Google, и в то время ни одна популярная антивирусная программа не смогла его обнаружить. До сих пор 15 антивирусных программ, включая AVG, Eset-Nod 32, F-Secure, BitDefender и TrendMicro, смогли его обнаружить.

Патрик Уордл из компании Synack считает, что установщик в последний раз обновлялся в октябре или ноябре прошлого года. Он добавил, что образец вредоносного ПО использует большую часть того же кода, что и старое вредоносное ПО Hacking Team.

«Я только что нашел некоторый уникальный код в этом дроппере. Этот код проверяет наличие более новых версий OS X и отсутствует в утечке исходного кода», — написал Вилака. «Либо кто-то поддерживает и обновляет код HackingTeam (почему, черт возьми, кто-то бы это делал!?!?!) или это действительно легитимный образец, скомпилированный самой HackingTeam. Повторное использование и переработка исходного кода вредоносного ПО происходит (например, Zeus), но у меня есть предчувствие, и индикаторы, похоже, не указывают в этом направлении.»

Неясно, как это вредоносное ПО устанавливается на систему. Тем не менее, Уордл нашел способ проверить, заражен ли ваш Mac.

Вот как вы можете проверить, затронуты ли вы:

• Чтобы проверить, заражены ли вы, ищите Bs-V7qIU.cYL или _9g4cBUb.psr, которые помещаются в директорию ~/Library/Preferences/8pHbqThW/.
• Если вы найдете любой из этих кодов, удалите всю эту директорию и удалите файл ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist.