ReaderUpdate macOS malware
A SentinelOne által közzétett elemzés szerint a ReaderUpdate néven ismert macOS malware új, frissített változatai jelentek meg, amelyek különféle nyelveken – Go, Crystal, Nim és Rust – íródtak. Ez a sokszínűség jelentősen bonyolítja a fenyegetés észlelését és elemzését, mivel különböző kódolási mintákat és futtatási jellemzőket használnak.
Az új hullám azonban technikailag fejlettebb, több nyelven írt binárisokkal. A ReaderUpdate szolgáltatást ingyenes vagy harmadik féltől származó szoftverletöltő oldalakról beszerzett szoftvereken keresztül, bizonyos esetekben hamis vagy trójai segédprogramokat, például a DragonDrop-ot (Drag-and-Drop, Drag-on Drop) tartalmazó csomagtelepítőkön keresztül juttaták be a rendszerekbe. Így néha Adobe Reader telepítésként érkezik, .dmg formátumban, valósnak tűnő app bundle-ökkel (pl. Player.dmg, Adobe_Reader_Update.dmg). A futtatás után a malware egy shell scriptet (postinstall) használ az adatlopás és további komponensletöltés megkezdéséhez. A fájlok digitálisan aláírtak, de a kódok nem mindig tartalmaznak Apple-notarizációt, így gyakran Gatekeeper-rel szemben is bejuthatnak.
A SentinelOne megosztotta az azonosításhoz szükséges indikátorokat.
