Кибершпионская APT атакует пользователей Apple Mac

Компьютеры Apple Mac редко подвергаются кибератакам с целью шпионажа. Тем не менее, неизвестной ранее APT-группировке WindShift удавалось в течение нескольких лет осуществлять кибершпионскую деятельность, атакую «маки», и оставаться незамеченной.

Как сообщил в своем отчете исследователь безопасности компании DarkMatter Таха Карим (Taha Karim), хакеры успешно избегали обнаружения в течение нескольких лет, так как атаковали редко и только отдельных личностей (всего две атаки в 2017 году и три в 2018 году). Их жертвами становились сотрудники государственных учреждений и компаний критической инфраструктуры в странах Среднего Востока.

Подготовка к атаке начиналась задолго до самой атаки. Злоумышленники создавали страницы поддельных пользователей в соцсетях, а затем отправляли будущей жертве запрос на добавление в друзья. С пользователем устанавливался контакт через личные сообщения и выманивалась полезная информация, такая как номера телефонов, электронная почта и пр.

От 6 месяцев до 1 года злоумышленники следили за жертвой с помощью невинных писем, определяя круг ее интересов, местоположение, используемый компьютер, частоту кликов и пр. На основании полученных данных для жертвы создавался специальный контент, после чего начиналась сама атака.

В частности хакеры отправляли жертве фишинговое письмо с ссылкой на подконтрольный им сайт, где с помощью атаки drive by на Apple Mac загружалось вредоносное ПО WindTale (варианты А и В) и WindTape.

WindTale А представляет собой подписанный бэкдор, похищающий файлы с расширениями .txt, .pdf, .doc, .docx, .ppt, .pptx, .db., .rtf, .xls и .xlsx. Впервые был использован в январе 2017 года. WindTale В появился в январе текущего года и представляет собой переписанную версию WindTale А. Помимо похищения данных, вредонос также загружает на компьютер жертвы вредоносное ПО WindTape, имеющее сходные черты с трояном Komplex OSX, используемым группировкой APT28.