Эксперты компании Malwarebytes, обнаружили малварь DarthMiner, ориентированную на пользователей macOS. Вредонос маскируется пиратскую утилиту Adobe Zii, предназначенную для взлома различных решений Adobe. Но эта версия Adobe Zii не взламывает ничего, кроме машины самого пользователя.

Единственная цель и функциональность DarthMiner – это запуск шелл-скрипта, который, в свою очередь, загрузит и выполнит Python-скрипт. Все это приведет к скачиванию приложения sample.app, представляющего собой вариацию Adobe Zii, очевидно, нужную лишь для отвлечения внимания пользователя. Исследователи пишут, что Python-скрипт также ищет следы присутствия в системе защитного решения Little Snitch, и если оно обнаружено, процесс заражения прекращается.

Если же файрвол не помешал заражению, малварь открывает соединение с бэкэндом EmPyre, бэкдора, с помощью которого на скомпрометированном Mac можно выполнять произвольные команды. Бэкдор, в свою очередь, загружает еще один скрипт и устанавливает другие компоненты малвари, обеспечивая ей устойчивое присутствие в системе. Также на устройство загружается майнер XMRig, для которого создается собственный Launch Agent. Кроме того, исследователи обнаружили, что на зараженное устройство может загружаться и устанавливаться корневой сертификат для mitmproxy, но эта функциональность пока отключена.

Специалисты Malwarebytes резюмируют, что малварь представляет сбой комбинацию из двух опенсорных решений (EmPyre и XMRig). И хотя в настоящее время DarthMiner только майнит криптовалюту, специалисты предупреждают, что потенциал данной малвари может быть намного серьезнее.

Теги: CSS, малварь Adobe представляет двух комбинацию