Недавно был обнаружен новый вариант вредоносного загрузчика для macOS, предположительно связанного с APT-группировкой
и ее продолжающейся вредоносной кампанией, также известной как
.
Эта группировка финансовые организации, в частности — компании, чья деятельность так или иначе связана с криптовалютой, а также отдельных пользователей, владеющих криптовалютными активами или интересующихся этой темой. Впервые информация о новом загрузчике появилась в посте в социальной сети X (бывший Твиттер).
Первый пост о новом загрузчике в Х (Твиттере)
Ранее цепочка распространения вредоносной нагрузки в рамках кампании RustBucket начиналась с приложения, мимикрировавшего под утилиту для просмотра PDF-файлов. В нынешнем же варианте вредоносный загрузчик распространялся внутри ZIP-архива и маскировался под PDF-файл с именем «Crypto-assets and their risks for financial stability» и иконкой, на которой изображен титульный лист соответствующего документа. Согласно метаданным, сохранившимся в ZIP-архиве, приложение было создано 21 октября 2023 года.
Структура приложения
Иконка приложения
Как именно распространялся архив, неизвестно. Возможно, злоумышленники рассылали его жертвам по почте, как и в прошлые свои кампании.
На момент обнаружения приложение имело валидную подпись, однако сейчас сертификат уже отозван:
Информация о подписи приложения
Исполняемый файл написан на языке Swift, имеет имя EdoneViewer и представляет собой файл универсального формата, содержащий версии для устройств как на процессорах Intel, так и на Apple Silicon. Вредоносная нагрузка в нем зашифрована с помощью XOR и расшифровывается в главной функции — CalculateExtameGCD. В процессе расшифровки в терминал выводятся сообщения, не связанные с настоящим назначением функции и призванные усыпить бдительность аналитика.
Расшифрованная нагрузка представляет собой сценарий AppleScript:
Сценарий AppleScript, выполняющийся после расшифровки
Назначение этого сценария — собрать и выполнить shell-команду:
Shell-команда
Собранная shell-команда выполняет следующие действия:
Файл .pw — троянец, обнаруженный нами еще в августе. Как и загрузчик, он представляет собой файл универсального формата:
Информация о файле .pw
Он собирает и отправляет на командный сервер следующую информацию о системе:
В случае если сервер пришлет команду 0х0, программа сохранит данные, переданные вместе с командой, в скрытый файл /Users/Shared/.pld, выдаст ему права на запись, чтение и запуск и выполнит его:
Участок кода, отвечающий за запись и выполнение загруженного файла
К сожалению, на момент проведения анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не представилось возможным. Описанный троянец уже детектируется большинством антивирусных вендоров:
Информация о втором загружаемом файле на VirusTotal
Ссылки
Эта группировка финансовые организации, в частности — компании, чья деятельность так или иначе связана с криптовалютой, а также отдельных пользователей, владеющих криптовалютными активами или интересующихся этой темой. Впервые информация о новом загрузчике появилась в посте в социальной сети X (бывший Твиттер).
Первый пост о новом загрузчике в Х (Твиттере)
Ранее цепочка распространения вредоносной нагрузки в рамках кампании RustBucket начиналась с приложения, мимикрировавшего под утилиту для просмотра PDF-файлов. В нынешнем же варианте вредоносный загрузчик распространялся внутри ZIP-архива и маскировался под PDF-файл с именем «Crypto-assets and their risks for financial stability» и иконкой, на которой изображен титульный лист соответствующего документа. Согласно метаданным, сохранившимся в ZIP-архиве, приложение было создано 21 октября 2023 года.
Структура приложения
Иконка приложения
Как именно распространялся архив, неизвестно. Возможно, злоумышленники рассылали его жертвам по почте, как и в прошлые свои кампании.
На момент обнаружения приложение имело валидную подпись, однако сейчас сертификат уже отозван:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 | Signature #1: Valid Chain #1: Verified: True Serial: 6210670360873047962 Issuer: CN=Developer ID Certification Authority,OU=Apple Certification Authority,O=Apple Inc.,C=US Validity: from = 20.10.2023 3:11:55 to = 01.02.2027 22:12:15 Subject: UID=2C4CB2P247,CN=Developer ID Application: Northwest Tech-Con Systems Ltd (2C4CB2P247),OU=2C4CB2P247,O=Northwest Tech-Con Systems Ltd,C=CA SHA-1 Fingerprint: da96876f9535e3946aff3875c5e5c05e48ecb49c Verified: True Serial: 1763908746353189132 Issuer: C=US,O=Apple Inc.,OU=Apple Certification Authority,CN=Apple Root CA Validity: from = 01.02.2012 22:12:15 to = 01.02.2027 22:12:15 Subject: CN=Developer ID Certification Authority,OU=Apple Certification Authority,O=Apple Inc.,C=US SHA-1 Fingerprint: 3b166c3b7dc4b751c9fe2afab9135641e388e186 Verified: True (self-signed) Serial: 2 Issuer: C=US,O=Apple Inc.,OU=Apple Certification Authority,CN=Apple Root CA Validity: from = 25.04.2006 21:40:36 to = 09.02.2035 21:40:36 Subject: C=US,O=Apple Inc.,OU=Apple Certification Authority,CN=Apple Root CA SHA-1 Fingerprint: 611e5b662c593a08ff58d14ae22452d198df6c60 |
Информация о подписи приложения
Исполняемый файл написан на языке Swift, имеет имя EdoneViewer и представляет собой файл универсального формата, содержащий версии для устройств как на процессорах Intel, так и на Apple Silicon. Вредоносная нагрузка в нем зашифрована с помощью XOR и расшифровывается в главной функции — CalculateExtameGCD. В процессе расшифровки в терминал выводятся сообщения, не связанные с настоящим назначением функции и призванные усыпить бдительность аналитика.
Расшифрованная нагрузка представляет собой сценарий AppleScript:
Сценарий AppleScript, выполняющийся после расшифровки
Назначение этого сценария — собрать и выполнить shell-команду:
Shell-команда
Собранная shell-команда выполняет следующие действия:
- Скачивает .pdf-файл, сохраняет по пути /Users/Shared/Crypto-assets and their risks for financial stability.pdf и открывает его. Этот файл не является вредоносным и запускается для отвлечения внимания пользователя:
Титульная страница .pdf-обманки
- Делает POST-запрос на сервер и сохраняет ответ в скрытый файл /Users/Shared/.pw.
- Выдает этому файлу права и запускает его, передав в качестве аргумента адрес C&C-сервера.
Файл .pw — троянец, обнаруженный нами еще в августе. Как и загрузчик, он представляет собой файл универсального формата:
Информация о файле .pw
Он собирает и отправляет на командный сервер следующую информацию о системе:
- имя компьютера;
- версию операционной системы;
- часовой пояс устройства;
- дату запуска устройства;
- дату установки операционной системы;
- текущее время;
- список выполняющихся в системе процессов.
| Номер команды | Описание |
| 0x0 | Сохранить полученный ответ в файл и выполнить |
| 0x1 | Удалить себя и завершить работу |
| Любое другое число | Продолжать ожидание команды |
В случае если сервер пришлет команду 0х0, программа сохранит данные, переданные вместе с командой, в скрытый файл /Users/Shared/.pld, выдаст ему права на запись, чтение и запуск и выполнит его:
Участок кода, отвечающий за запись и выполнение загруженного файла
К сожалению, на момент проведения анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не представилось возможным. Описанный троянец уже детектируется большинством антивирусных вендоров:
Информация о втором загружаемом файле на VirusTotal
Индикаторы компрометации
Файлы| Хеш MD5 | Формат файла | Имя файла |
| Mach-O Fat | EdoneViewer | |
| Mach-O Fat | .pw | |
| Zip | Crypto-assets and their risks for financial stability.zip | |
| Zip | Crypto-assets and their risks for financial stability.zip | |
| Zip | Crypto-assets and their risks for financial stability.zip | |
| Crypto-assets and their risks for financial stability.pdf |
| URL | Описание |
| URL-адрес PDF-файла | |
| URL-адрес троянца |
