Новые угрозы для macOS: обнаружено два скрытных вредоносных инструмента

Компания Mosyle, специализирующаяся на управлении и безопасности устройств Apple, сообщила об обнаружении двух ранее неизвестных вредоносных программ для macOS. Новые угрозы, получившие названия Phoenix Worm и ShadeStager, на момент выявления оставались невидимыми для большинства антивирусных решений, что подчеркивает растущую сложность атак на платформу Mac.

Phoenix Worm: скрытный инструмент для закрепления в системе

Phoenix Worm представляет собой мультиплатформенное вредоносное ПО, написанное на языке программирования Go. Оно выполняет роль так называемого стейджера — легковесного модуля, предназначенного для первичного внедрения, закрепления в системе и подготовки инфраструктуры для последующих этапов атаки. Вместо загрузки полного объема вредоносного кода, программа постепенно создает плацдарм для будущих действий.

Ключевые функциональные возможности Phoenix Worm включают:

• Установление связи с удаленным сервером управления (C2).
• Генерацию уникальных идентификаторов для скомпрометированных систем.
• Передачу технических данных об устройстве злоумышленникам.
• Поддержку удаленного обновления и загрузку дополнительных вредоносных модулей.

По данным аналитиков, Phoenix Worm, вероятно, является частью более масштабного инструментария, используемого для передачи управления более сложным компонентам атаки.

ShadeStager: охота за конфиденциальными данными

ShadeStager — это инструмент пост-эксплуатации, ориентированный на извлечение ценной информации из уже взломанных систем. Исследователи отмечают, что, хотя функционал программы дополняет действия подобных зловредов, прямой связи между ним и Phoenix Worm не зафиксировано.

Основной целью ShadeStager являются среды разработки и облачная инфраструктура. Вредоносное ПО нацелено на кражу следующих данных:

• SSH-ключей и списков известных хостов.
• Учетных данных облачных сервисов, включая AWS, Azure и GCP.
• Файлов конфигурации Kubernetes.
• Данных аутентификации Git и Docker.
• Полных профилей пользователей во всех основных браузерах.

Кроме того, ShadeStager проводит детальную разведку хоста, собирая информацию о правах доступа, конфигурации сети и переменных окружения. Все собранные данные передаются через защищенный протокол HTTPS. Анализ показал, что на момент обнаружения программа могла находиться на стадии активной разработки, так как часть кода не была скрыта методами обфускации.

Изменение ландшафта угроз для macOS

Специалисты отмечают, что данные образцы иллюстрируют современный подход злоумышленников к созданию вредоносного ПО. Атаки стали модульными: первичный доступ отделен от этапа кражи данных, а инфраструктура управления постоянно меняется, что делает сигнатурный поиск антивирусов все менее эффективным.

Эксперты приходят к выводу, что для защиты корпоративных сред macOS сегодня недостаточно традиционных антивирусных средств. Необходимы внедрение инструментов поведенческого анализа и обеспечение мониторинга системы в режиме реального времени.

Технические индикаторы компрометации

Для выявления указанных угроз специалистам по безопасности рекомендуется использовать следующие хэш-суммы файлов (SHA256):

• ShadeStager: 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
• Phoenix Worm: 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2