Исследователи информационной безопасности проанализировали две новые вредоносные программы для Mac, которые на протяжении трех недель сдавались в аренду на подпольных площадках. Оба сайта начали свою работу 25 мая и были выявлены экспертом из Bleeping Computer Каталином Кимпану.
На первом сайте – MacSpy – предлагается шпионская программа для Mac по схеме «вредоносное программное обеспечение как услуга» (Malware-as-a-Service, MaaS). На втором ресурсе –MacRansom – можно было приобрести вымогательскую программу по модели «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS). Обе вредоносные программы создал один и тот же разработчик, а упомянутые веб-ресурсы очень похожи друг на друга.
Для того, чтобы обсудить оплату и получить в свое распоряжение демо-версии ПО, пользователь должен связаться с разработчиком. Сотрудники Bleeping Computer не смогли этого сделать, но экспертам из AlienVault и Fortinet все же удалось получить доступ соответственно к MacSpy и MacRansom.
Специалисты из AlienVault и Fortinet провели анализ вредоносных программ и сделали идентичный вывод: их разработал является хакер, не имеющий большого опыта. Хотя он создал MaaS-сайт, но качеству самой программы было уделено мало внимания. Так, хакер скопировал код MacSpy из системы вопросов и ответов о программировании Stack Overflow. В MacSpy и MacRansom нет цифровых подписей, поэтому при попытке их запуска на macOS появятся уведомления безопасности. MacRansom не осуществляет подключение к командному серверу, из чего эксперты сделали вывод, что восстановление зашифрованных файлов невозможно.
Пока что незафиксировано каких-либо вредоносных кампаний с применением MacSpy и MacRansom. Видимо, причиной этого является сложная процедура, которую должны пройти потенциальные клиенты перед приобретением программного обеспечения.