AnnaDavydova
Green Team
- 06.08.2016
- 113
- 755
Бэкдор операционной системы Mac, получивший название Calisto, остается не выявленным при помощи радара антивирусных решений на протяжении многих лет. Вредоносная программа сначала загрузилась в virustotal в 2016г и оставалась не выявленной до мая 2018г.
Исследователи безопасности из лаборатории Kaspersky выявили в образце вредоносной программы macOS подозрительно знакомые свойства, такие как удаленный вход, демонстрация экрана, удаленный вход и скрытый root аккаунт.
Дистрибутив Calisto и установка
Установочный файл Calisto можно рассматривать как неподписанный образ DMG, который представляет собой ведущее программное обеспечение для предоставления безопасности Mac и антивирусное программное обеспечение Intego для Mac.
Субъекты, создающие угрозу, сделали вредоносное программное обеспечение macOS более убедительным, и только пользователь, который уже установил приложение, может определить разницу.
Как и любое другое приложение, он начинает установку с принятия лицензии, при следующем шаге он запрашивает имя пользователя и пароль. Как только пользователь предоставляет свои личные данные, он показывает, что установка не удалась и просит у пользователя новый установочный пакет с официального сайта.
Активность Calisto на компьютере с поддержкой SIP ограничена, и ему не удастся изменить системные файлы. На зараженной машине создается скрытая папка. Callisto для хранения данных Keychain, учетных данных для входа, сведений о сетевом соединении и данных Google Chrome.
На машине отключенным SIP он выполняет множество других операций, которые включают
Копирование себя в папку / System / Library /
Устанавливает себя в автоматический запуск при включении
Отключает и удаляет образ DMG
Добавляет себя к доступности
Собирает дополнительную информацию о системе
Включает удаленный доступ к системе
Направляет собранные данные на сервер C&C
Согласно исследователям выяснилось, что бэкдор Calisto очень похож на Backdoor.OSX.Proton, который крадет личные данные пользователя и контент Keychain.
Чтобы защитить свой компьютер от Calisto и его аналогов, никогда не отключайте SIP, обновляйте свою операционную систему до последней версии, запускайте приложение только из надежного источника и используйте известный антивирус.
Источник: Calisto - Dangerous macOS Backdoor That Steals User Login Credentials
