«Лаборатория Касперского»: кибергруппа WildPressure атакует не только Windows, но и macOS

«Лаборатория Касперского» продолжает следить за группой WildPressure, операторы которой, как сообщалось ранее, используют троянец Milum для кибератак на Ближнем Востоке. Помимо версий зловреда, написанных на C++, эксперты компании зафиксировали атаки с использованием схожих версий на Visual Basic Script и Python. Последняя может заражать как Windows, так и macOS. Все три модификации способны собирать данные о жертве, загружать файлы и выполнять команды оператора.

Мультиплатформенные зловреды, которые могут заражать устройства на macOS, встречаются редко. Для ОС Windows Python-скрипт с названием Guard доставлялся внутри исполняемого файла. У потенциальных жертв, работающих на этой ОС, не обязательно должен быть установлен интерпретатор Python. MacOS же распространяется с предустановленным интерпретатором. Системно-зависимый код троянца относится к методам закрепления в системе и сбору данных о ней. Например, Python-скрипт проверяет, установлены ли на устройстве защитные решения.

«Операторы WildPressure разработали схожие версии троянцев как минимум на трёх языках. Возможно, это было сделано для того, чтобы затруднить его детектирование. Мы нечасто видим вредоносное ПО, которое адаптировано для заражения двух разных операционных систем, даже и в виде Python-скрипта. Любопытно также, что второй целевой системой выбрана именно macOS, в зоне интересов WildPressure она явно не первая, приходящая на ум», — комментирует Денис Легезо, старший эксперт по кибербезопасности «Лаборатории Касперского».