Вредоносный скрипт DarthMiner, который маскируется под пиратскую программу и устанавливает майнер криптовалюты,обнаружили исследователи из компании Malwarebytes. Приложение атакует компьютеры под управлением macOS и внедряет на инфицированную систему свободно распространяемый бэкдор. По словам ИБ-специалистов, зловред может загрузить инструмент для перехвата HTTP/HTTPS-трафика, однако пока эта функция отключена.

DarthMiner попадает на компьютер под видом Adobe Zii — пиратской утилиты, предназначенной для взлома пакета Adobe Creative Cloud. После активации она загружает и выполняет на устройстве Python-сценарий и запускает приложение sample.app — одну из версий Adobe Zii. Основной скрипт обфусцирован и предназначен для установки бэкдора, основанного на opensource-разработке EmPyre.

В первую очередь зловред ищет на компьютере брандмауэр Little Snitch, и в случае его обнаружения прекращает работу. Исследователи отмечают, что эта проверка лишена смысла, поскольку большинство межсетевых экранов заблокировали бы вредоносный скрипт сразу после загрузки.

Открыв соединение с сервером EmPyre, программа создает агент автозагрузки и доставляет на компьютер майнер XMRig. Зловред также может установить приложение mitmproxy, предназначенное для перехвата и изменения трафика на зараженном устройстве. В данный момент эта опция в скрипте отключена.

Как отмечают ИБ-специалисты, подобные программы позволяют внедрять майнеры в любой интернет-контент в браузере или перенаправлять жертву на вредоносные ресурсы.

Источник:threatpost.ru