Хак-группа WildPressure атакует не только Windows, но и macOS

[GLOV]

«Лаборатория Касперского» продолжает наблюдать за хак-группой WildPressure, впервые замеченной в 2020 году. Операторы группировки используют троян Milum для атак на цели на Ближнем Востоке (предположительно связанные с нефтегазовой отраслью).
Помимо версий малвари, написанных на C++, эксперты компании зафиксировали атаки с использованием схожих версий на Visual Basic Script и Python. Последняя вариация может заражать как Windows-системы, так и системы на базе macOS. Все три модификации способны собирать данные о жертве, загружать файлы и выполнять команды оператора.

Исследователи отмечают, что мультиплатформенная малварь, которые способна заражать устройства на macOS, встречается редко. Так, в случае с Windows Python-скрипт с названием Guard доставлялся внутри исполняемого файла. У потенциальных жертв, работающих на этой ОС, не обязательно должен быть установлен интерпретатор Python. В случае мacOS вредонос распространяется с предустановленным интерпретатором. Системно-зависимый код трояна относится к методам закрепления в системе и сбору данных о ней. Например, Python-скрипт проверяет, установлены ли на устройстве защитные решения.

«Операторы WildPressure разработали схожие версии троянцев как минимум на трех языках. Возможно, это было сделано для того, чтобы затруднить его детектирование. Мы нечасто видим вредоносное ПО, которое адаптировано для заражения двух разных операционных систем, даже и в виде Python-скрипта. Любопытно также, что второй целевой системой выбрана именно macOS, в зоне интересов WildPressure она явно не первая, приходящая на ум», — комментирует Денис Легезо, старший эксперт по кибербезопасности «Лаборатории Касперского».