Експерти з кібербезпеки виявили нову загрозу для користувачів macOS – бекдор HZ Rat, який спеціалізується на атаках через популярні корпоративні месенджери. Ця шкідлива програма становить серйозну небезпеку для бізнес-комунікацій та конфіденційності корпоративних даних.
Особливості та механізм дії HZ Rat
HZ Rat – це багатоплатформний бекдор, який раніше атакував системи Windows, а тепер з’явився і для macOS. Він використовує складні методи маскування та шифрування для уникнення виявлення. Зокрема, malware застосовує XOR-шифрування з ключем 0x42 для зв’язку з командним сервером.
Бекдор має обмежений, але потужний набір функцій:
- Виконання shell-команд
- Запис файлів на диск
- Відправка файлів на сервер зловмисників
- Перевірка доступності зараженої системи
Цілі атаки та збір даних
HZ Rat націлений на користувачів корпоративних месенджерів DingTalk та WeChat. Malware збирає конфіденційну інформацію, включаючи:
- Ідентифікатори користувачів
- Електронні адреси
- Номери телефонів
- Назви організацій та відділів
Ця інформація зберігається у незашифрованому вигляді в локальних файлах месенджерів, що робить її легкодоступною для зловмисників.
Механізм розповсюдження та маскування
Точний вектор початкового зараження залишається невідомим. Однак дослідники виявили підозрілий інсталяційний пакет OpenVPNConnect.pkg, який може бути пов’язаний з розповсюдженням HZ Rat. Цікаво, що цей файл раніше завантажувався з домену, що належить китайському розробнику ігор miHoYo, що вказує на можливий компроміс легітимних ресурсів.
Інфраструктура атаки та географія загрози
Аналіз командних серверів HZ Rat виявив цікаві особливості:
- Використання як публічних, так і приватних IP-адрес
- Більшість серверів розташовані в Китаї
- Окремі сервери знаходяться в США та Нідерландах
Застосування локальних IP-адрес свідчить про можливість проведення цільових атак на конкретні організації. Це дозволяє зловмисникам краще приховувати свою активність та ускладнює виявлення загрози.
Виявлення HZ Rat для macOS підкреслює зростаючу тенденцію до створення крос-платформних загроз. Це вимагає від організацій посилення заходів кібербезпеки на всіх використовуваних платформах. Рекомендується регулярно оновлювати програмне забезпечення, проводити аудит безпеки корпоративних комунікацій та навчати співробітників правилам інформаційної гігієни.