Пользователю предлагают установить дистрибутив программы, которая ему необходима, в данном случае это приложение . Также предлагается инсталлировать некий «Активатор», который взломает приложение. Первая особенность такого вредоносного набора: в комплекте поставляется уже взломанная версия легитимного ПО, которая работала бы без всяких активаторов. Однако в начале исполняемого файла дописаны 16 байт мусорных данных, и это делает его неработоспособным. Все, что делает «Активатор», — удаляет эти лишние 16 байт, делая возможным запуск приложения. К сожалению, на этом деятельность вредоносной программы не заканчивается.
С точки зрения пользователя, собравшегося сэкономить на покупке легального ПО, все выглядит достаточно логично. В инсталляторе устанавливается программа и некий «кряк» для нее. Далее «Активатор» запускается и требует пароль пользователя:
После ввода пароля и нажатия кнопки Patch «Активатор» восстанавливает работоспособность пиратской программы, записывает в папку tmp дистрибутив Python3, который необходим для дальнейшей работы, и запускает код для связи с командным сервером (C2). Связь с ним реализована достаточно необычным образом. Из набора строк, зашитых в коде, собирается URL, по которому запрашивается DNS-запись типа TXT. Данная запись содержит зашифрованный скрипт на языке Python, а он в свою очередь загружает и запускает следующую стадию вредоносного кода. Параллельно блокируются системные уведомления, а вредоносный скрипт прописывается в автозапуск. Исследователи, скорее всего, «поймали» разработчиков вредоносной программы прямо во время отладки: командный сервер отвечал с перебоями, а отдаваемый по запросу код менялся так, что это нельзя было списать только на работу какой-то автоматики, призванной, например, усложнить детектирование.
После установления связи с командным сервером тот может передать и выполнить на зараженном компьютере любые команды. На сервер злоумышленников также отправляется подробная информация о системе — листинг папок в директории Users, список установленных приложений, IP-адрес, тип процессора и так далее. В финальном вредоносном скрипте также была замечена возможность детектирования двух криптокошельков — и . При обнаружении приложения Exodus с командного сервера загружается его модифицированная версия, которая крадет данные для доступа к кошельку. Аналогичным образом происходит кража средств в биткоинах.
Это, естественно, не первый и не последний пример распространения вредоносного кода вместе с пиратским программным обеспечением. В прошлом году исследователи «Лаборатории Касперского» уже о похожей троянской программе для Mac OS. В ней также применялся метод, который затрудняет детектирование подозрительной активности путем анализа трафика, но немного другой. Вместо загрузки зашифрованных DNS-записей типа TXT применялся запрос типа DNS-over-HTTPS. Загрузка пиратского программного обеспечения из сомнительных источников по-прежнему чревата потерей данных и денег.
Что еще произошло
На прошлой неделе компания Apple обновление iOS до версии 17.3, которое, помимо прочего, закрывает три уязвимости в браузерном движке WebKit. Одна из них, CVE-2024-23222, имеет статус zero-day, то есть эксплуатировалась на момент обнаружения. Это первая уязвимость нулевого дня для мобильных устройств Apple, закрытая в 2024 году. Кроме того, данный апдейт включает крайне полезную фичу . Она затрудняет «отвязывание» телефона от определенного Apple ID в случае кражи.
публичные данные о 15 миллионах учетных записей Trello — это результат не взлома, а эксплуатации недостаточно защищенного API. Аноним, позднее замеченный при попытке продать базу контактов на подпольном форуме, использовал фичу API, которая в ответ на адрес e-mail возвращает публичные данные о профиле пользователя. Слабые ограничения на количество запросов позволили «прогнать» через API 500 миллионов адресов, что и привело к созданию списка зарегистрированных в сервисе пользователей.
В сети полученные в результате официального запроса архивные документы американских госорганов. В них обсуждалась игрушка Furby, которая имела огромную, хотя и кратковременную популярность в конце 90-х. Furby «разговаривали» на придуманном языке, в который со временем включались фразы на английском (или на другом языке, в зависимости от страны, где продавалась игрушка). Из-за этого сформировался устойчивый миф, что Furby подслушивают происходящее вокруг и обучаются на разговорах своих владельцев. Это не соответствовало истине, но привело (на всякий случай) к запрету игрушек в тех местах, где любые записывающие устройства запрещены, — например, в офисах американского Агентства национальной безопасности. В опубликованной переписке АНБ говорится о некоем «чипе искусственного интеллекта», установленном в Furby. Подобные опасения актуальны скорее четверть века спустя, когда микрофоны встроены вообще во все устройства от смартфонов до телевизоров, а обработка человеческой речи и обучение нейросетей на ее базе стали нормой.
