AppleJeus

A számítógépes csalók egyre nagyobb érdeklődést mutatnak az OSX rendszert futtató eszközöket célzó fenyegetések létrehozása iránt. Az egyik legújabb fenyegetés, amelyet a kiberbiztonsági szakértők észleltek, az AppleJeus. Az AppleJeus fenyegetése egy trójai hátsó ajtó, számos érdekes funkcióval. Az AppleJeus trójai szerzői egy hamis digitális eszköz valutacsere segítségével terjesztik. Minden felhasználót, aki szeretné használni a szolgáltatást, sürgetjük, hogy töltsön le egy digitális eszköz kereskedési platformot. Amint a felhasználók letöltik és telepítik a fájlt, az AppleJeus trójai hátsó ajtó csendesen települnek a rendszerükre. A Mac számítógépekkel szembeni fenyegetés változatán kívül az auxok kidolgozták a Win-dows rendszerek utáni másolatot is. Ennek a fenyegetésnek a Windows változata nem rendelkezik olyan tulajdonságokkal, amelyek túl lenyűgözőek, de az OSX másolatnak van néhány furcsa aspektusa, amelyeket érdemes feltárni.

Sérült fájl található a GitHub webhelyen

A felhasználók becsapása és a rendszerük veszélyeztetése érdekében az Ap-pleJeus trójai hátsó ajtót egy hamis csere maszkolja, melynek neve Celas vagy JMT Trading. Mindkét szolgáltatás alkotja, és nem kapcsolódnak semmilyen valódi társasághoz vagy vállalkozáshoz. Az AppleJeus hátsó ajtó alkotói úgy döntöttek, hogy a fenyegetés sérült fájljait a legitim GitHub platformon tárolják. A fájl neve 'JMT-Trader.pkg.' Az a tény, hogy a fenyegetés szerzői ezt a fájlt olyan megbízható platformon tárolják, mint a GitHub, becsaphatja néhány felhasználót arra, hogy azt gondolja, hogy nincs semmi halak, és a szolgáltatás valódi.

Perzisztenciát szerez

A kitartó gazdagépen való kitartás érdekében az Ap-pleJeus hátsó ajtó fájlgyűjteményt telepít egy telepítő szkript segítségével, majd új indítódémont hoz létre, amely biztosítja, hogy a fenyegetés a számítógép újraindításakor mindig fennálljon. A támadás e lépésének végrehajtásához rendszergazdai jogosultságok szükségesek, ám ez nem jelent problémát a fenyegetés szerzőinek. Az AppleJeus Tro-jan hátsó ajtó egy olyan promptot mutat a felhasználók számára, amely sürgeti őket, hogy töltsék ki adminisztrátori hitelesítő adataikat, és adják a zöld fényt a telepítésnek.

Annak ellenére, hogy rövid a parancsok listája, amelyekből a fenyegetés kiküszöbölhető, több mint elegendő ahhoz, hogy a támadók szinte teljes irányítást szerezzenek a sérült gép felett. Az AppleJeus hátsó ajtó képes:

• Tölts fel fájlokat a fertőzött gazdagépre.
• Végezzen fájlokat a fertőzött gazdagépen.
• Végezzen távoli parancsokat a fertőzött gazdagépen.
• Self-felmondani.

Csak a támadók által alkalmazott bonyolult szaporítási módszer alapján biztonságos feltételezni, hogy nagy tapasztalattal rendelkeznek a számítógépes bűnözés területén. Ez arra késztette a cy-becurity-kutatókat, hogy azt hitték, hogy e támadás mögött lehet APT (Advanced Persistent Threat). Az AppleJeus hátsó ajtó trójai tanulmányozása során szoros párhuzamokat találtak a fenyegetés és a rosszindulatú programok más törzsei között, amelyeket a híres észak-koreai Lazarus nevű ATP-vel társítottak. A Lazarus APT által bérbe adott fenyegetések rendkívül erősek és fenyegetők. Ezért érdemes mindenképpen mérlegelnie egy jó hírű, rosszindulatú programok elleni alkalmazásba történő befektetést, amely a rendszer biztonságát megőrzi.