Tarmac malware-aanvallen MacOS gebruikers

zelfverzekerd gevonden die schadelijke advertentiecampagnes in de VS., Italië en Japan waren het verspreiden van de Tarmac malware, gericht op MacOS gebruikers.

THij doelstellingen van de kraanwagen, evenals de functionaliteit, zijn nog niet volledig onderzocht.

“Cybercriminelen, APT groepen, natiestaat actoren, worden op grote schaal richt Apple iOS / MacOS-apparaten om verschillende redenen: continue innovatie en de ontwikkeling van Apple platforms leidt uiteindelijk tot nieuwe aanval oppervlakken (en meer 0-dagen verkocht in de ondergrondse)”, - verslag Confiant specialisten.

De aanval begint met de kwaadaardige ad lancering van de kwaadaardige code in de browser van het slachtoffer en om te buigen naar een site die pop-ups weergeeft waarin staat dat de gebruiker nodig heeft om een ​​software-update met spoed te installeren (meestal is dit Adobe Flash Player). De gebruikers die in deze truc vallen, Natuurlijk, krijgen geen update, maar twee malware tegelijk: OSX / Shlayer, Net zoals OSX / Tarmac.

Volgens Confiant, dit Shlayer en Tarmac advertentiecampagne is actief sinds januari van dit jaar. Het is opmerkelijk dat de onderzoekers van het bedrijf schreef over Shlayer afgelopen winter, maar dan konden ze niet vinden Tarmac.

“Confiant gedetecteerd en geanalyseerd OSX / Shlayer sinds januari 2019, afkomstig van een malvertiser die Confiant hebben genoemd VeryMal. Het is geschat op basis van de omvang van onze dekking die maar liefst 5 mm bezoekers misschien onderworpen aan deze recente malware campagne”zijn geweest, - uit te leggen Confiant specialisten.

Nu, deskundigen hebben hun verslag aangevuld op deze nog steeds actief campagne en zijn lading.

Asfalt werkt als een nuttige last van de tweede fase van de infectie, Dat is, het gaat in het spel na Shlayer. Alle versies van Tarmac door de onderzoeker ontdekte bleek relatief oud te zijn, en het beheer van servers niet werken tegen de tijd dat de malware werd ontdekt (Waarschijnlijk, ze werden verplaatst naar een andere plek). Dit maakte het moeilijk om de dreiging te analyseren, en de onderzoekers waren niet in staat om volledig te begrijpen hoe Asfalt Werkzaamheden.

Momenteel, het is bekend dat Tarmac uiteindelijk is geïnstalleerd op de Shlayer-geïnfecteerde hosts, waarin informatie over de instellingen en de uitrusting van het slachtoffer verzamelt, en draagt ​​vervolgens deze informatie aan haar leidinggevende server. Nadat de malware is wachten op nieuwe opdrachten, maar aangezien de C&C servers werkte niet, was het nog niet mogelijk om de functionaliteit van de malware te bepalen. Experts geloven dat de dreiging zeer gevaarlijk kan zijn, staat om extra applicaties te downloaden en te installeren, en gaan naar de studie voort te zetten.

Lees ook: Vanwege de kwetsbaarheid in Twitter API, duizenden iOS-apps worden aangevallen

De onderzoekers voegen hieraan toe dat Tarmac payloads zijn ondertekend met legitieme Apple ontwikkelaar certificaten, en als een resultaat, Gatekeeper en XProtect niet stoppen met de installatie van de malware en geen waarschuwingen niet weergeven.

Polina Lisovskaja

Ik werk al jaren als marketingmanager en zoek graag naar interessante onderwerpen voor jou

Laat een antwoord achter

Terug naar boven knop