home.social
Sign in Create account

#phoenix-worm — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #phoenix-worm, aggregated by home.social.

fetched live
  1. Agnieszka Serafinowicz @[email protected] ·

    Dwa nowe zagrożenia dla macOS. Tradycyjne antywirusy są wobec nich całkowicie bezradne

    Firma Mosyle, specjalizująca się w zarządzaniu i zabezpieczaniu ekosystemu Apple, zidentyfikowała dwa nowe złośliwe programy atakujące system macOS.

    Phoenix Worm oraz ShadeStager omijają tradycyjne silniki antywirusowe i pokazują wyraźny trend: hakerzy zamiast na szybki zysk, stawiają na cichą infiltrację i kradzież wrażliwych poświadczeń chmurowych.

    Według najnowszego raportu udostępnionego serwisowi 9to5Mac, ataki na system Apple ewoluują. Twórcy złośliwego oprogramowania odchodzą od głośnych ataków na rzecz budowania trwałych przyczółków w systemie. Dwa nowo odkryte narzędzia idealnie wpisują się w tę taktykę, chociaż analitycy zaznaczają, że nie są one ze sobą bezpośrednio powiązane.

    Phoenix Worm, czyli niewidzialny przyczółek

    Pierwsze z zagrożeń, Phoenix Worm, zostało napisane w języku Go i jest oprogramowaniem wieloplatformowym. Działa jako tak zwany „stager”. Jego zadaniem nie jest bezpośrednia kradzież danych, ale ciche wniknięcie do systemu ofiary i nawiązanie bezpiecznego połączenia z serwerem hakerów (C2).

    Program generuje unikalne identyfikatory dla zainfekowanych maszyn, przesyła podstawowe dane o systemie i cierpliwie czeka na instrukcje, przygotowując grunt pod pobranie bardziej zaawansowanego złośliwego kodu. W momencie publikacji analizy żaden z popularnych silników antywirusowych nie wykrywał wariantów tego kodu przeznaczonych dla systemów macOS oraz Linux.

    ShadeStager na polowaniu w chmurze

    Drugim odkryciem jest ShadeStager – modułowy implant stworzony stricte do etapu wyciągania danych z już zainfekowanych maszyn. Co ważne, narzędzie to ma na celowniku przede wszystkim środowiska deweloperskie i infrastrukturę chmurową. Złośliwy kod aktywnie poszukuje:

    • Kluczy SSH i listy znanych hostów,
    • Poświadczeń do usług chmurowych AWS, Azure oraz GCP,
    • Plików konfiguracyjnych środowiska Kubernetes,
    • Danych uwierzytelniających dla platform Git i Docker,
    • Kompletnych profili użytkowników z popularnych przeglądarek internetowych.

    Program zbiera również szczegółowe dane o sprzęcie, konfiguracji sieci i przyznanych uprawnieniach. Wszystko jest następnie eksfiltrowane za pośrednictwem protokołu HTTPS. Badacze z Mosyle zauważyli jednak, że kod ShadeStagera nie miał na sztywno przypisanego adresu serwera C2, a część jego struktury była zaskakująco czytelna. To mocno sugeruje, że przechwycona próbka znajdowała się jeszcze w fazie aktywnego rozwoju.

    Bazy sygnatur odchodzą do lamusa

    Odkrycie obu narzędzi uwypukla istotny problem współczesnego bezpieczeństwa w środowisku macOS. Twórcy malware’u piszą kod w Go i Ruście, by łatwo atakować różne systemy operacyjne. Rozdzielają ataki na mniejsze moduły i dynamicznie zarządzają swoją infrastrukturą.

    Dla użytkowników i administratorów płynie z tego jeden wniosek: poleganie wyłącznie na tradycyjnych antywirusach, które skanują pliki w oparciu o znane bazy sygnatur, to obecnie zdecydowanie za mało. Ochrona nowoczesnych środowisk pracy, szczególnie programistycznych, wymaga narzędzi analizujących zachowanie procesów w czasie rzeczywistym.

    Jak naprawdę dbać o baterię w MacBooku w czasach macOS 26 Tahoe

    #Apple #Bezpieczeństwo #chmura #cyberbezpieczeństwo #macOS #malware #Mosyle #PhoenixWorm #programowanie #ShadeStager
    #apple #bezpieczenstwo #chmura #cyberbezpieczenstwo #macos #malware