التسويق عبر وسائل التواصل الاجتماعي: كيفية استخدام وسائل التواصل الاجتماعي للتسويق وزيادة الوعي بعلامتك التجارية

مستخدمي macOS كن حذرا ينتشر حصان طروادة غير المعروف عبر ملفات PDF

 

 

 

مستخدمي macOS ، كن حذرا: ينتشر حصان طروادة غير المعروف عبر ملفات PDF

اكتشفت كاسبرسكي لاب نوعا جديدا من برنامج تنزيل ضار لنظام التشغيل macOS ، يزعم أنه مرتبط بمجموعة BlueNoroff APT وحملة RustBucket الخاصة بها. تستهدف المجموعة المؤسسات المالية والمستخدمين المرتبطين بالعملات المشفرة.

تم إخفاء التنزيل كملف PDF في أرشيف ZIP تم إنشاؤه في 21 أكتوبر 2023. في وقت الاكتشاف ، كان لدى التنزيل توقيع شرعي ، ولكن الآن تم إلغاء الشهادة بالفعل. من غير المعروف كيف تم توزيع الأرشيف بالضبط. من الممكن أن يكون المهاجمون قد أرسلوها إلى الضحايا عبر البريد الإلكتروني ، كما في حملاتهم السابقة.

احتوى الملف القابل للتنفيذ ، المكتوب بلغة Swift والمسمى EdoneViewer ، على إصدارات لمعالجات Intel و Apple Silicon ، وتم تشفير الحمولة الضارة بتشفير XOR

قام برنامج التنزيل بتنفيذ برنامج نصي AppleScript يقوم بتنزيل ملف PDF غير ضار لتشتيت انتباه المستخدم ويقدم طلب POST لتنزيل حصان طروادة (.pw) من خادم القيادة والتحكم (C2) المسجل في 20 أكتوبر. قام حصان طروادة بجمع وإرسال المعلومات التالية حول النظام على فترات مدتها دقيقة واحدة:

 اسم الكمبيوتر

 إصدار نظام التشغيل

 المنطقة الزمنية للجهاز

 تاريخ إطلاق الجهاز.

 تاريخ تثبيت نظام التشغيل.

 الوقت الحالي

 قائمة بالعمليات التي تعمل على النظام.

ردا على ذلك ، انتظر حصان طروادة أمرا من الخادم لحفظ البيانات أو حذف نفسه أو متابعة الانتظار. لسوء الحظ ، في وقت التحليل ، لم يرسل الخادم أمرا واحدا ، مما جعل من المستحيل معرفة محتوى المرحلة التالية من الهجوم.

كما ذكرنا سابقا ، تم تصميم البرامج الضارة التي تم تجميعها بواسطة Swift لتنزيل البرامج الضارة الرئيسية ، وهي ثنائية قائمة على Rust مع وظائف جمع المعلومات ، من خادم C2 ، بالإضافة إلى استرداد وتشغيل ثنائيات أو قذائف Mach-O إضافية على النظام المخترق.

المصدر: https://www.securitylab.ru/news/544338.php