През последните години кибератаките стават все по-сложни и насочени не само към Windows, но и към macOS и Linux. Наскоро експерти по киберсигурност разкриха две нови зловредни програми, които представляват сериозна опасност за потребители и организации по цял свят. Това са CHILLYHELL – специално създаден зловреден софтуер за macOS, и ZynorRAT – троянец за отдалечен достъп, написан на езика Go, който атакува както Windows, така и Linux системи.
Какво е CHILLYHELL?
CHILLYHELL е нов тип „бекдор“ (backdoor) – зловреден софтуер, който позволява на хакери да получат скрит достъп до заразеното устройство. Той е написан на C++ и е предназначен за компютри с macOS и Intel процесори.
Открит е от екипа на Jamf Threat Labs, които свързват този зловреден код с хакерска група, наречена UNC4487. Смята се, че групата е активна поне от октомври 2022 г. и е извършвала атаки срещу украински държавни сайтове, пренасочвайки посетителите към страници, които инсталират CHILLYHELL или други подобни вируси.
Любопитен детайл е, че част от зловредния софтуер е била качена в VirusTotal (платформа за анализ на вируси) още през 2021 г. и е била нотарифицирана от Apple, което я е направило да изглежда напълно легитимна. След разкриването на заплахата Apple е отменил сертификатите, свързани с вируса.
Как работи CHILLYHELL?
След като бъде стартиран на даден Mac, вирусът:
За да се задържи на системата, CHILLYHELL може да се инсталира като LaunchAgent или LaunchDaemon, а ако това не проработи – променя конфигурационните файлове на потребителя (.zshrc, .bash_profile, .profile), за да стартира автоматично при всяко включване на компютъра.
Една от най-интересните техники, които използва, е т.нар. timestomping – промяна на датата и часа на файловете, за да изглежда, че са създадени много по-рано и така да не будят съмнение.
Вирусът може да изпълнява широка гама от команди – от стартиране на „обратна конзола“ (reverse shell) към сървъра на хакерите, до сваляне на нови версии на самия зловреден код, кражба на информация за потребители от /etc/passwd и дори грубо разбиване на пароли със списък, предоставен от хакерите.
Експертите подчертават, че CHILLYHELL е изключително гъвкав и че фактът, че е бил нотарифициран от Apple, е ясен знак, че не всяко подписано приложение е безопасно.
Какво представлява ZynorRAT?
Докато CHILLYHELL засяга основно потребителите на macOS, ZynorRAT е заплаха за Windows и Linux системи. Това е т.нар. RAT (Remote Access Trojan) – троянец, който дава пълен контрол на хакера върху заразения компютър.
ZynorRAT използва Telegram бот с името @lraterrorsbot за управление на заразените устройства. Тоест, веднъж щом компютърът е заразен, хакерите могат да изпращат команди чрез Telegram и да управляват машината от разстояние.
Възможности на ZynorRAT
Зловредният код може да:
Любопитно е, че Windows версията е почти идентична на Linux варианта, но изглежда все още е в процес на разработка, тъй като използва механизми, типични за Linux.
Според анализите, зловредният софтуер е дело на самостоятелен разработчик, вероятно от Турция. Част от файловете се разпространяват през платформата Dosya.co, а следи в Telegram чатове показват, че авторът дори е тествал вируса върху собствените си машини.
Какво означава това за нас?
Как да се предпазим?
Заключение
CHILLYHELL и ZynorRAT показват колко динамична е средата на киберзаплахите днес. Независимо дали сте потребител на Mac, Windows или Linux, важно е да сте бдителни и да предприемате мерки за защита. Вирусите вече не са „универсални“ – те са целенасочени, персонализирани и все по-трудни за засичане.
