Знайдена шкідлива програма Shlayer для macOS, яка може вимикати систему Gatekeeper та в подальшому встановлювати шкідливі скрипти. Троянська програма Astaroth, яка призначена для операційної системи Windows, використовує системний процес одного із найвідомішого антивіруса – Avast.

Перше шкідливе програмне забезпечення вимикаючи захист Gatekeeper може виконувати непідписаний код. Даний вірус був знайдений рік назад і видавав себе за оновлення AdobeFlash. Нова версія також видає себе за оновлення продукту Adobe але розповсюджується не через торенти як його попередник, а через зламані домени та клони цілком легальних сайтів. Зараження відбувається, коли користувач відвідуючи такий сайт, отримує повідомлення про нібито потрібне оновлення AdobeFlash та клікає по ньому. Інколи такі повідомлення можуть показуватися на цілком легальних сайтах у вигляді реклами.

Жодна версія macOS не захищена, включаючи і останню 10.14.3 Mojave. До своїх жертв Shlayer попадає у вигляді файлів із розширеннями .DMG, .PKG, .ISO, .ZIP, причому деякі із них мають цифровий підпис Apple, тому вони виглядають як повністю легітимні.

Додаткові компоненти завантажуються внаслідок використання останньою версією зловреда шкідливих shell-скриптів.

Користувач монтує образ DMG та запускає інсталятор, після чого із прихованої папки із змонтованого розділу запускається шкідливий скрипт .command, який виконує декодування та дешифрування другого скрипта, який також містить інший закодований скрипт і який при потребі також буде запущений на виконання.

І так запускаючись один за одним та дійшовши до останнього скрипта, відбувається перший етап зараження. Починається збір даних про вашу версію macOS: унікальний ідентифікатор системи, генерується сесія GUID (для цього використовується uuidgen), створюється унікальний URL-лінк та виконується збирання іншої інформації, що потрібна для другого етапу зараження. Другий етап починається завантаженням по створеному на першому етапі URL-посиланні іншого шкідливого компонента. Тоді завантажується .ZIP-файл, створюючи папку /tmp, дані розпаковуються і із вмісту збирається виконуючий файл, який запускається. Вікно самого скрипта закривається командою killallTerminal. Далі відбувається ще ряд дій, кінцевим результатом яких являється показ небажаної реклами. Але в будь-який момент часу ситуація може змінитися і замість реклами можна очікувати куди більш небезпечних дій.

Шкідливе ПО для Windows краде дані та встановлює інші шкідливі модулі. Astaroth націлений на бразильських та європейських користувачів. Всі дії при попаданні в операційну систему приховуються шляхом використання цілком легітимних системних процесів для доставки та запуску шкідливих скриптів.

Теперішня версія трояна здатна виконувати зараження aswrundll.exe, що являється процесом антивіруса Avast. Після зараження відбувається збір інформації про поточну машину та завантаження додаткових модулів.

Також троян може виконувати зараження unins000.exe, що являється одним із процесів антивіруса GASTecnologia у тому випадку, якщо Avast на комп’ютері відсутній.

Astaroth старається зібрати інформацію із буфера обміну, перехоплює натискання клавіш та може викрасти ваші логіни і паролі.

Компанія Avast вже приймає рішення та випустила оновлення, що не дасть змоги виконати зараження.

Можна зробити висновки, що хакери не сплять і все частіше використовують складніші та заплутаніші способи запуску своїх шкідливих скриптів.

Потрібно пам’ятати, що жоден антивірус не захистить вас на 100%, головне бути уважним та користуватися провіреними антивірусними рішеннями на кшталт, Malwarebytes, про який на нашому сайті вже згадувалося не раз.