Российские кибершпионы разработали новое поколение троянов для Windows и Mac с целым набором инновационных техник, сообщают эксперты исследовательских компаний Fox-IT и Palo Alto Networks. В частности, они получили API, позволяющий хакерам в случае необходимости изменять направление трафика между ним и C&C-сервером.
Зловред разработан с помощью программной платформы . NET Framework и представлен в трех вариантах – для Windows, Mac и Linux. Исследователи Palo Alto проанализировали Windows-версию, она-то и была названа Kazuar. Эксперты Fox-IT обнаружили Mac-версию, получившую название Snake.
На платформе macOS троян распространяется путем рассылки архива Adobe Flash Player. app. zip. В нем содержится инфицированный вариант Adobe Flash Player: если пользователи установит его на компьютер, то в системе, помимо вполне себе рабочего плагина, появится вредоносный бэкдор, который использует службу LaunchDaemon для автоматической загрузки.
Эксперты считают, что «вредонос» разработан российской киберпреступной группировкой Turla, связываемой с самой продолжительной за всю историю кибершпионской кампанией. Вредоносное ПО является заменой трояну Uroburos, уничтоженному в 2014 году исследователями G Data.
Специалисты Fox-IT, обнаружившие вредоносное приложение, рекомендуют просканировать Mac с помощью утилиты Malwarebytes. Вручную проверить наличие «вредоноса» можно по следующим путям: