Группировка Fancy Bear использует в кибератаках вредоносное ПО для OS X

[SLASH_CyberPunk]

Я правильно понял, что эта хакерская группа сделала то, что крупные IT гиганты делают каждый день (а скорее каждую секунду)?

[ukku]

Как я понимаю этому трояну необходимо дать права чтобы он сработал?

[danzealzer]

Мне одно непонятно: как осуществляется первый этап? Как дроппер попадает в систему?

[0xcffaedfe]

Судя по всему нужно скачать некое приложение roskosmos_2015-2025.app, и запустить.

[norlin]

Хотел спросить у esetnod32 то же самое.
Более того:

… который сохраняет на диск дроппер Komplex, а также PDF-документ в качестве приманки

Значит ли это, что, помимо скачивания и запуска первоначального исполняемого файла, пользователь вручную должен открыть этот самый PDF-документ? Или как?

[bogolt]

Установка в систему вредоносного ПО разбита на несколько этапов. На первом к пользователю в систему попадает специальный исполняемый файл

А как он туда попадает и кто его запускает?

[k06a]

А точно там шифрование то есть? Может просто в закодированном виде?

[mwizard]

Если перейти на appleupdate.org, там уведомление, что это исследовательский проект лаборатории Касперского. Что это значит?

Скрытый текст

[creker]

Маскировка, что это еще значит.

[zte189]

Мне думается, что всё-таки это фишинг:

/>

К тому же, очень странно, что абузы принимаются на theflame@ — всё же, это совсем другой вирус, как я понимаю.

[mxms]

Это значит то, о чём вы уже и сами догадались.

[drakmail]

А как они декомпилировали так красиво бинарник?

[0xcffaedfe]

Бинарик на objective-c, так нативные бинари декомпилятся.

[drakmail]

А через что?

[0xcffaedfe]

IDA hex rays, hopper.
В mach-o(исполняемых файлах) сохраняется часть информации имена классов\методов(написанные на Objective-c\swift(в меньшей степени)) как относящихся к приложению так и вызовы из системных фраемворков.

[KotBauk]

Подскажите язык на котором написано сие творение

[0xcffaedfe]

Чуть выше ответил, код представленный в статье на Objective-C