Российские кибершпионы разработали новое поколение троянов для Windows и Mac с целым набором инновационных техник, сообщают эксперты исследовательских компаний Fox-IT и Palo Alto Networks. В частности, они получили API, позволяющий хакерам в случае необходимости изменять направление трафика между ним и C&C-сервером.
Зловред разработан с помощью программной платформы .NET Framework и представлен в трех вариантах – для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake.
На платформе macOS троян распространяется путем рассылки архива Adobe Flash Player.app.zip. В нем содержится инфицированный вариант Adobe Flash Player: если пользователи установит его на компьютер, то в системе, помимо вполне себе рабочего плагина, появится вредоносный бэкдор, который использует службу LaunchDaemon для автоматической загрузки.
Эксперты считают, что «вредонос» разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data.
Специалисты Fox-IT, обнаружившие вредоносное приложение, рекомендуют просканировать Mac с помощью утилиты Malwarebytes. Вручную проверить наличие «вредоноса» можно по следующим путям:

-/Library/Scripts/queue
-/Library/Scripts/installdp
-/Library/Scripts/installd.sh
-/Library/LaunchDaemons/com.adobe.update.plist
-/var/tmp/.ur-*
-/tmp/.gdm-socket
-/tmp/.gdm-selinux
Как и большинство других троянов, Snake обращается за командами к командному серверу по вшитому адресу. В основном получаемые вредоносом команды такие же, как и у остальных троянов, однако одна из них отличается.
Команда remote запускает веб-сервер на зараженном хосте, предоставляя API для удаленных соединений. Другими словами, Snake, как и Kazuar способен изменять привычный поток подключения к C&C-серверу. Вместо того, чтобы инфицированный хост пинговал сервер для новых команд, атакующий может когда угодно пинговать систему жертвы и отправлять вредоносу инструкции.
Данный подход имеет два больших преимущества. Во-первых, атакующий по желанию может мигрировать на другой C&C-сервер, а во-вторых, таким образом Snake способен обходить некоторые решения безопасности. Использовался ли вредонос в реальных атаках, пока неизвестно.

Источник: macdigger.ru