В этой статье мы погрузимся в мир проектирования и разработки вредоносного ПО для macOS, которая по сути является операционной системой на основе Unix.
При исследовании внутренностей системы Apple мы воспользуемся классическим подходом с опорой на базовые знания эксплойтов, программирования на C и Python, а также знакомство с низкоуровневым языком ассемблера.
- Знакомства с архитектурой macOS и с особенностями её безопасности
- Углубимся во внутреннее устройство и рассмотрим ключевые элементы: Mach API и ядро
- Создадим заготовку зловредного ПО
#Malware #MacOS #SIP |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍33🔥4👏2😁2
Был выявлен инструмент северокорейской группировки Kimsuki, использующийся для атак на правительственные и коммерческие организации Южной Кореи.
Вредонос является Linux-версией известного трояна GoBear, ориентированного на Windows. Новая версия обладает всеми основными функциями своего предшественника, включая прямую связь с C2-сервером, механизмы сохранения в системе и поддержку выполнения широкого спектра команд.
ПО поддерживает 17 операций, полученные через HTTP-запросы POST с C2-сервера. Операции включают: приостановку связи с C2-сервером; выполнение произвольных shell-команд; сбор информации о системе (имя хоста, имя пользователя, CPU, RAM, сетевые интерфейсы); создание произвольных файлов на системе и их эксфильтрацию.
#News #Korea #APT #Malware |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍30🤯13🔥6❤3😁1🕊1
Мы продолжаем тему о проектировании и разработке вредоносного ПО для macOS.
- Методики инъецирования кода и то, как он применяется в вредоносном ПО
- Способы обеспечения постоянства хранения
- Процесс инъецирования шелл-кода и его закрепление на конечном устройстве
#Malware #MacOS #SIP |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25❤3🔥3👏1🤔1🤯1
Злоумышленники нашли новый способ распространения вредоносного ПО через Stack Overflow – отвечая на вопросы пользователей, хакеры рекомендуют установить вредоносный PyPi-пакет, который заражает компьютеры и похищает конфиденциальную информацию.
Новый вредоносный PyPi-пакет, связанный с уже известной кампанией «Cool package». Кампания, начавшаяся в прошлом году, нацелена на пользователей Windows и использует пакет под названием «pytoileur»
— Пакет был загружен на репозиторий PyPi под видом инструмента для управления API. Его они продвигают через ответы на вопросы пользователей Stack Overflow, представляя пакет как решение для различных проблем.
#News #Malware #PyPi |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍26😁18🔥9👏6
В репозитории PyPI обнаружен вредоносный пакет, предназначенный для похищения информации Lumma (также известной как LummaC2). Это пакет с названием «crytic-compilers», являющийся подделкой легитимной библиотеки «crytic-compile». Фальшивый пакет был загружен 441 раз, прежде чем его удалили.
- Примечательно, что некоторые версии «crytic-compilers», действительно устанавливали легитимное содержимое, однако в версии 0.3.11, определяя операционную систему как Windows, пакет запускает исполняемый файл («s.exe»), который в свою очередь загружает дополнительные компоненты, включая инфостилер Lumma.
#News #Stealer #PiPI #Malware |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤22👍12🔥7🤯7👏1