Похоже, что хакеры из Северной Кореи вернулись с очередным вредоносным ПО для macOS, выпущенным на основе приложения для просмотра PDF.

Компания Jamf, специализирующаяся на безопасности, обнаружила вредоносную программу, получившую название RustBucket, которая распространяется через приложение под Internal PDF Viewer. Само приложение позволяет просматривать PDF-файлы.

Интересно, что оно пытается заразить Mac только если запустить определённый PDF-файл, вероятно, чтобы предотвратить обнаружение исследователями безопасности и антивирусным ПО.

Специалисты Jamf обнаружили один из необходимых PDF-файлов скрывается под названием InvestmentStrategy(Protected).pdf. Если открыть его с помощью вредоносного PDF-просмотрщика, пользователь увидит 9-страничный документ о венчурной фирме, которая хочет инвестировать в различные технологические стартапы.

Следовательно, хакеры, скорее всего, будут атаковать жертв с помощью фишинговых сообщений об инвестиционных возможностях. Однако на самом деле вредоносная программа просмотра PDF-файлов, прочитав правильный PDF-файл, тайно начинает взаимодействовать с контролируемым хакерами сервером, откуда загружает новую вредоносную программу размером 11,2 МБ, содержащую код для атаки на Mac.

«При первом запуске она выполняет серию команд восстановления системы», – говорится в отчёте Jamf. «В этом модуле есть возможность изучить основную системную информацию, информацию о процессах, текущее время и то, запущена ли она внутри [виртуальной машины]».

Затем контролируемый хакерами сервер может направить вредоносное ПО на загрузку и выполнение дополнительных опасных компонентов на Mac.

Хорошей новостью является то, что само приложение не имеет подписи и будет запущено только в том случае, если пользователь вручную отключит встроенную защиту Gatekeeper, которая автоматически предупреждает о запуске ненадёжных программ, загруженных из Интернета.

Специалисты Jamf также отметили, что вредоносная программа имеет техническое сходство с другими атаками, связанными с BlueNoroff, группой, действующей под руководством северокорейской хакерской группировки Lazarus, возможно, наиболее известной по взлому Sony Pictures в 2014 году.

Впоследствии было установлено, что Lazarus занимается взломом криптовалютных и финансовых компаний с помощью вредоносного ПО для Windows и macOS, обычно в рамках целенаправленных атак. Ещё в 2018 году исследователи безопасности «Касперского» впервые обнаружили северокорейских хакеров, заражающих вредоносным ПО устройства с macOS.

Представители Jamf добавили: «Используемая в данном случае вредоносная программа показывает, что по мере роста доли рынка macOS злоумышленники осознают, что ряд жертв останется незатронутыми, если их инструменты не будут обновлены для использования в экосистеме Apple».

Ещё по теме: