Хакеры, стоящие за загрузчиком вредоносного ПО для macOS, известного как ReaderUpdate, создали новые версии угрозы, используя языки программирования Crystal, Nim, Rust и Go, сообщает SentinelOne.
Изначально вредоносная программа была замечена в 2020 году, когда она распространялась в виде скомпилированного двоичного файла на языке Python. Она связывалась с командно-контрольным (C&C) сервером по адресу www[.]entryway[.]world и развертывала полезную нагрузку, идентифицированную как рекламное ПО Genieo (оно же Dolittle и MaxOfferDeal).
С середины 2024 года новые домены стали ассоциироваться с вариантами Crystal, Nim и Rust для ReaderUpdate, но полезная нагрузка не изменилась, утверждает SentinelOne. Вариант Go, который компания по кибербезопасности недавно идентифицировала, действует по той же схеме.
Вредоносная программа распространялась через сайты загрузки бесплатного и стороннего программного обеспечения, в том числе с помощью вредоносных пакетов-установщиков, содержащих поддельные или троянские утилиты. Все обнаруженные варианты нацелены только на архитектуру x86 Intel.
Анализ Go-варианта ReaderUpdate показал, что при выполнении вредоносная программа сначала собирает информацию об аппаратном обеспечении системы, которая затем используется для создания уникального идентификатора и отправляется в C&C.
Кроме того, выяснилось, что угроза может анализировать и выполнять ответы, полученные от C&C, что позволяет предположить, что она может быть использована для выполнения любых команд, которые отправляет ее оператор.
«Хотя до сих пор заражения ReaderUpdate были связаны только с известным рекламным ПО, загрузчик имеет возможность изменять полезную нагрузку на более вредоносную. Это соответствует платформе загрузчика, которая может использоваться для предложения другим участникам угроз услуг Pay-Per-Install (PPI) или Malware-as-a-Service (MaaS)», - говорят в SentinelOne.
«В настоящее время ReaderUpdate распространяется в пяти вариантах, скомпилированных из пяти различных языков, включая оригинальную скомпилированную версию на Python. Мы наблюдали распространение новых вариантов через существующие заражения старой версии ReaderUpdate», - отмечает SentinelOne.
source: https://www.securityweek.com/macos-users-warned-of-new-versions-of-readerupdate-malware/
Изначально вредоносная программа была замечена в 2020 году, когда она распространялась в виде скомпилированного двоичного файла на языке Python. Она связывалась с командно-контрольным (C&C) сервером по адресу www[.]entryway[.]world и развертывала полезную нагрузку, идентифицированную как рекламное ПО Genieo (оно же Dolittle и MaxOfferDeal).
С середины 2024 года новые домены стали ассоциироваться с вариантами Crystal, Nim и Rust для ReaderUpdate, но полезная нагрузка не изменилась, утверждает SentinelOne. Вариант Go, который компания по кибербезопасности недавно идентифицировала, действует по той же схеме.
Вредоносная программа распространялась через сайты загрузки бесплатного и стороннего программного обеспечения, в том числе с помощью вредоносных пакетов-установщиков, содержащих поддельные или троянские утилиты. Все обнаруженные варианты нацелены только на архитектуру x86 Intel.
Анализ Go-варианта ReaderUpdate показал, что при выполнении вредоносная программа сначала собирает информацию об аппаратном обеспечении системы, которая затем используется для создания уникального идентификатора и отправляется в C&C.
Кроме того, выяснилось, что угроза может анализировать и выполнять ответы, полученные от C&C, что позволяет предположить, что она может быть использована для выполнения любых команд, которые отправляет ее оператор.
«Хотя до сих пор заражения ReaderUpdate были связаны только с известным рекламным ПО, загрузчик имеет возможность изменять полезную нагрузку на более вредоносную. Это соответствует платформе загрузчика, которая может использоваться для предложения другим участникам угроз услуг Pay-Per-Install (PPI) или Malware-as-a-Service (MaaS)», - говорят в SentinelOne.
«В настоящее время ReaderUpdate распространяется в пяти вариантах, скомпилированных из пяти различных языков, включая оригинальную скомпилированную версию на Python. Мы наблюдали распространение новых вариантов через существующие заражения старой версии ReaderUpdate», - отмечает SentinelOne.
source: https://www.securityweek.com/macos-users-warned-of-new-versions-of-readerupdate-malware/