Эксперты из компании Koi, занимающейся кибербезопасностью, отслеживают эволюцию опасного вредоносного ПО GlassWorm. Его обновлённая версия теперь применяется не только в широкомасштабных атаках на пользователей Windows, но также была выявлена в целенаправленных операциях против компьютеров на macOS.
Источник изображения: https://hothardware.com
Распространение GlassWorm происходит через внедрение вредоносного кода в легальные расширения для редактора VS Code. Злоумышленники применяют невидимые символы Unicode, что делает обнаружение подозрительных фрагментов в коде чрезвычайно сложной задачей для разработчиков.
Переход на macOS демонстрирует высокий профессионализм создателей GlassWorm. Последняя версия была специально адаптирована для этой платформы, чтобы максимально использовать её особенности. Например, для скрытного выполнения команд используется AppleScript, а для постоянного резидентства в системе — механизм LaunchAgents. Кроме того, вредонос способен похищать данные, хранящиеся в связке ключей Keychain.
Мотивы смены целевой платформы пока неясны. По мнению аналитиков, это может быть связано с интересом авторов GlassWorm к криптовалютам. Компьютеры Apple часто используются разработчиками в таких сферах, как web3 и криптостартапы, что делает их привлекательной целью для атак.
Особую угрозу новой версии придаёт возможность атаковать аппаратные криптокошельки. Вредонос может подменять приложения для управления такими кошельками, обходя защиту аппаратных хранилищ ключей. Пока эта функция неактивна, но в будущем злоумышленники могут начать её использовать.
