Sofisticirana macOS platforma za učitavanje malicioznog softvera poznata kao “ReaderUpdate” značajno je evoluirala svoje mogućnosti, a istraživači su identifikovali nove varijante napisane u programskim jezicima Nim i Rust.
Iako je aktivna od najmanje 2020. godine, ova prijetnja je ostala uglavnom neotkrivena od strane mnogih proizvođača sigurnosti.
Prvobitno distribuisan kao kompajlirani Python binarni program, ReaderUpdate je proširio svoj arsenal implementacijama u Crystal, Nim, Rust i nedavno Go, pokazujući prilagodljivost i tehničku sofisticiranost autora malicioznog softvera.
Maliciozni softver obično dolazi do žrtava putem besplatnih web lokacija za preuzimanje softvera ili softvera trećih strana , često prikrivenih u instalatorima paketa koji sadrže lažne ili trojanizirane uslužne aplikacije poput „DragonDrop“.
Jednom instaliran, ReaderUpdate uspostavlja postojanost i komunicira s komandnim i kontrolnim (C2) serverima kako bi primio daljnje upute ili isporučio sekundarne korisne podatke.
Do danas, većina infekcija je isporučila Genieo (aka DOLITTLE) adver , iako se mogućnosti platforme protežu daleko dalje od ovog relativno benignog tereta.
Istraživači SentinelOne su primijetili da ga modularna arhitektura i mogućnosti učitavanja malvera čine posebno zabrinjavajućim, jer se lako može okrenuti ka isporuci opasnijeg tereta.
Analiza je otkrila da su operateri malicioznog softvera uspostavili opsežnu infrastrukturu koja obuhvata više domena, uključujući entryway[.]world, airconditionersontop[.]com i streamingleaksnow[.]com, između ostalih.
Ova infrastruktura povezuje sve tipove varijanti u zajedničku operaciju.
Implementacija malicioznog softvera u pet različitih programskih jezika predstavlja neobično ulaganje u diversifikaciju.
Prevedena Python verzija je teška 5,6 MB, dok je Go varijanta 4,5 MB, Crystal je 1,2 MB, Rust je 400 KB, a Nim je najmanji sa samo 166 KB. Ova raznolikost sugeriše moguće eksperimentiranje s tehnikama izbjegavanja otkrivanja na različitim razvojnim platformama.
Mehanizam infekcije i perzistentnost
Redoslijed infekcije ReaderUpdate-a počinje prikupljanjem informacija o hardveru sistema korištenjem izvorne naredbe system_profiler SPHardwareDataType. Ovi podaci formiraju jedinstveni identifikator za žrtvu koji se kasnije prenosi na C2 servere.
Maliciozni softver tada provjerava svoju lokaciju izvršenja, kreirajući namjensku strukturu foldera ako je potrebno:-
~/Library/Application Support//
~/Library/LaunchAgents/com..plistRadi postojanosti, ReaderUpdate kreira LaunchAgent koji izvršava maliciozni softver prilikom prijave.
Label
com.etc
KeepAlive
RunAtLoad
Program
/Users/[username]/Library/Application Support/etc/etcOvo podešavanje omogućava malicioznom softveru da održi otpornost na ponovno pokretanje sistema dok se postavlja da prima dalje komande od svojih operatera.
Sposobnost učitavača da izvršava proizvoljne komande čini ga potencijalnim vektorom za operacije plaćanja po instalaciji (PPI) ili zlonamjernog softvera kao usluge (MaaS) koje ciljaju korisnike macOS-a .
Izvor: CyberSecurityNews
