Специалисты предупреждают о трансформации вредоносного загрузчика ReaderUpdate, предназначенного для атак на macOS.
Изначально это был скомпилированный Python-бинарник, однако теперь авторы используют Go, Rust, Nim и Crystal. ReaderUpdate применяется операторами для установки рекламного софта Genieo (также Dolittle и MaxOfferDeal). Несмотря на смену языков разработки, функциональность вредоноса остаётся прежней, подчёркивают эксперты.
С середины 2024 года появились новые командные серверы (C2), связанные с вариантами на Crystal, Nim и Rust, а совсем недавно была обнаружена версия на Go. Как и предыдущие образцы, новый семпл распространяется через вредоносные установщики, замаскированные под полезные утилиты, а также через сторонние сайты загрузки софта.
Все варианты ReaderUpdate нацелены исключительно на устройства с архитектурой Intel x86. Анализ Go-варианта показал, что при запуске он собирает информацию о «железе» устройства, формирует уникальный идентификатор и отправляет его на C2.
Кроме того, программа может анализировать и выполнять команды, полученные от C2, что делает загрузчик потенциально опасным в случае замены полезной нагрузки на более вредоносную.
Компания выявила девять образцов ReaderUpdate на Go, взаимодействующих с семью различными C2-доменами. Однако этот вариант пока встречается значительно реже, чем Nim, Crystal и Rust, образцы которых насчитывают сотни экземпляров.
Изначально это был скомпилированный Python-бинарник, однако теперь авторы используют Go, Rust, Nim и Crystal. ReaderUpdate применяется операторами для установки рекламного софта Genieo (также Dolittle и MaxOfferDeal). Несмотря на смену языков разработки, функциональность вредоноса остаётся прежней, подчёркивают эксперты.
С середины 2024 года появились новые командные серверы (C2), связанные с вариантами на Crystal, Nim и Rust, а совсем недавно была обнаружена версия на Go. Как и предыдущие образцы, новый семпл распространяется через вредоносные установщики, замаскированные под полезные утилиты, а также через сторонние сайты загрузки софта.
Все варианты ReaderUpdate нацелены исключительно на устройства с архитектурой Intel x86. Анализ Go-варианта показал, что при запуске он собирает информацию о «железе» устройства, формирует уникальный идентификатор и отправляет его на C2.
Кроме того, программа может анализировать и выполнять команды, полученные от C2, что делает загрузчик потенциально опасным в случае замены полезной нагрузки на более вредоносную.
Компания выявила девять образцов ReaderUpdate на Go, взаимодействующих с семью различными C2-доменами. Однако этот вариант пока встречается значительно реже, чем Nim, Crystal и Rust, образцы которых насчитывают сотни экземпляров.
