JSCoreRunner: Mac malware διανέμεται μέσω PDF Conversion Site
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
JSCoreRunner: Mac malware διανέμεται μέσω PDF Conversion Site
https://www.secnews.gr/657568/mac-malware-jscorerunner-pdf-metatropi/
Aug 29th 2025, 13:32
by Digital Fortress
Μια νέα, εξελιγμένη εκστρατεία στοχεύει χρήστες μέσω ενός παραπλανητικού ιστότοπου μετατροπής PDF, με σκοπό να τους μολύνει με ένα Mac malware με το όνομα JSCoreRunner.
Το κακόβουλο λογισμικό αντιπροσωπεύει μια σημαντική εξέλιξη στις απειλές για το macOS, δείχνοντας πώς οι κυβερνοεγκληματίες προσαρμόζουν τις τεχνικές τους για να παρακάμψουν τα μέτρα ασφαλείας της Apple, διατηρώντας παράλληλα μηδενικά ποσοστά ανίχνευσης στις κύριες πλατφόρμες ασφαλείας.
JSCoreRunner malware: Πώς γίνεται η μόλυνση;
Η απειλή λειτουργεί μέσω του fileripple[.]com, ενός ψεύτικου ιστότοπου που προσποιείται ότι είναι μια νόμιμη υπηρεσία μετατροπής PDF. Οι χρήστες που επισκέπτονται τον ιστότοπο καλούνται να κατεβάσουν αυτό που φαίνεται να είναι ένα χρήσιμο εργαλείο με την ονομασία 'FileRipple.pkg'. Αυτό δημιουργεί την ψευδαίσθηση ενός γνήσιου εργαλείου PDF και εμφανίζει ένα ψεύτικο webview interface.
Δείτε επίσης: Το MixShell malware διανέμεται μέσω Contact Forms
Το κακόβουλο λογισμικό εκτελεί τις κακόβουλες δραστηριότητές του σιωπηλά, ενώ οι χρήστες πιστεύουν ότι αλληλεπιδρούν με μια νόμιμη εφαρμογή. Οι αναλυτές του 9to5Mac αναγνώρισαν αυτήν την εκστρατεία ως ιδιαίτερα ανησυχητική λόγω του zero-day status κατά την ανακάλυψή της.
Το κακόβουλο λογισμικό κατάφερε να αποφύγει όλους τους προμηθευτές ασφαλείας στο VirusTotal, υπογραμμίζοντας τη προηγμένη φύση αυτής της απειλής και τις προκλήσεις που αντιμετωπίζουν οι παραδοσιακές μέθοδοι ανίχνευσης.
Ο κύριος στόχος του JSCoreRunner malware είναι το browser hijacking, στοχεύοντας ειδικά τις εγκαταστάσεις του Google Chrome στα μολυσμένα συστήματα. Το JSCoreRunner διατρέχει συστηματικά τον κατάλογο ~/Library/Application Support/Google/Chrome/ για να εντοπίσει τόσο τα προεπιλεγμένα όσο και τα πρόσθετα προφίλ χρηστών. Στη συνέχεια χειραγωγεί τα search engine configurations μέσω TemplateURL object modifications.
Μόλυνση σε δύο στάδια
Η εκστρατεία JSCoreRunner χρησιμοποιεί μια προσεκτικά οργανωμένη στρατηγική ανάπτυξης δύο σταδίων, σχεδιασμένη να παρακάμπτει τους ελέγχους ασφαλείας του macOS. Το αρχικό στάδιο περιλαμβάνει ένα υπογεγραμμένο πακέτο που κατασκευάστηκε σκόπιμα για να φαίνεται νόμιμο, αν και η Apple ανακάλεσε στη συνέχεια την υπογραφή του προγραμματιστή. Αυτή η ανάκληση κάνει το macOS Gatekeeper να μπλοκάρει το πακέτο του πρώτου σταδίου, δημιουργώντας μια ψευδή αίσθηση ασφάλειας για τους χρήστες που μπορεί να υποθέσουν ότι η απειλή έχει εξουδετερωθεί.
Δείτε επίσης: Νέο Android malware μιμείται antivirus της ρωσικής FSB
Ωστόσο, το δεύτερο στάδιο, 'Safari14.1.2MojaveAuto.pkg', λειτουργεί ως μη υπογεγραμμένο payload που κατεβαίνει απευθείας από το ίδιο παραβιασμένο domain. Αυτή η μη υπογεγραμμένη φύση του επιτρέπει να παρακάμπτει τους προεπιλεγμένους μηχανισμούς αποκλεισμού του Gatekeeper, καθώς το macOS συνήθως επικεντρώνεται στην επικύρωση υπογραφής στα αρχικά κατεβασμένα πακέτα και όχι στα επόμενα στοιχεία που κατεβαίνουν.
Μετά την επιτυχή εγκατάσταση, το κακόβουλο λογισμικό καθιερώνει persistence τροποποιώντας τις ρυθμίσεις της μηχανής αναζήτησης του Chrome και ανακατευθύνοντας τους χρήστες σε ψεύτικες μηχανές αναζήτησης ενώ κρύβει τα αρχεία καταγραφής σφαλμάτων και τα session restoration prompts.
Οι χρήστες macOS βρίσκονται αντιμέτωποι με μια νέα απειλή που αποδεικνύει πως οι κυβερνοεγκληματίες δεν διστάζουν να αναζητήσουν όλο και πιο δημιουργικούς τρόπους διάδοσης κακόβουλου λογισμικού. Το JSCoreRunner κρύβεται πίσω από έναν παραπλανητικό ιστότοπο που μιμείται υπηρεσία μετατροπής PDF, ξεγελώντας ανυποψίαστους επισκέπτες να κατεβάσουν μολυσμένα πακέτα εγκατάστασης.
Δείτε επίσης: Το QuirkyLoader βοηθά στη διανομή infostealer malware
Η εκστρατεία αυτή ξεχωρίζει όχι μόνο λόγω της πολυπλοκότητάς της, αλλά και επειδή κατάφερε να διαφύγει πλήρως από τα συστήματα ανίχνευσης στο VirusTotal, αφήνοντας ακόμη και έμπειρους ερευνητές να μιλούν για ένα εξαιρετικά ανησυχητικό zero-day σενάριο. Σε αντίθεση με πιο «παραδοσιακές» επιθέσεις που διαδίδονται μέσω phishing emails ή cracked εφαρμογών, εδώ οι δράστες επένδυσαν σε μια ολοκληρωμένη ψευδή υπηρεσία, η οποία ενισχύει την αίσθηση νομιμότητας.
Η υπόθεση αυτή αναδεικνύει ένα κρίσιμο ζήτημα: η αίσθηση ότι τα συστήματα της Apple είναι από τη φύση τους πιο ασφαλή μπορεί να οδηγήσει σε εφησυχασμό. Οι τεχνικές που χρησιμοποιεί το JSCoreRunner δείχνουν ότι οι επιτιθέμενοι κατανοούν σε βάθος το πώς λειτουργεί το οικοσύστημα του macOS και αναπτύσσουν τακτικές ειδικά σχεδιασμένες να παρακάμπτουν τις ενσωματωμένες άμυνες.
Η συμβουλή των ειδικών είναι ξεκάθαρη: οι χρήστες πρέπει να κατεβάζουν λογισμικό αποκλειστικά από το επίσημο Apple App Store ή από αξιόπιστους προγραμματιστές, ενώ η χρήση ενημερωμένων λύσεων ασφαλείας τρίτων είναι πλέον πιο αναγκαία από ποτέ. Η νέα αυτή καμπάνια δείχνει πως ο πόλεμος ανάμεσα στους developers malware και τους αμυνόμενους συνεχίζεται, με τους επιτιθέμενους να βρίσκουν συνεχώς νέους τρόπους να παραμένουν ένα βήμα μπροστά.
© SecNews.gr - JSCoreRunner: Mac malware διανέμεται μέσω PDF Conversion Site
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
JSCoreRunner: Mac malware διανέμεται μέσω PDF Conversion Site
https://www.secnews.gr/657568/mac-malware-jscorerunner-pdf-metatropi/
Aug 29th 2025, 13:32
by Digital Fortress
Μια νέα, εξελιγμένη εκστρατεία στοχεύει χρήστες μέσω ενός παραπλανητικού ιστότοπου μετατροπής PDF, με σκοπό να τους μολύνει με ένα Mac malware με το όνομα JSCoreRunner.
Το κακόβουλο λογισμικό αντιπροσωπεύει μια σημαντική εξέλιξη στις απειλές για το macOS, δείχνοντας πώς οι κυβερνοεγκληματίες προσαρμόζουν τις τεχνικές τους για να παρακάμψουν τα μέτρα ασφαλείας της Apple, διατηρώντας παράλληλα μηδενικά ποσοστά ανίχνευσης στις κύριες πλατφόρμες ασφαλείας.
JSCoreRunner malware: Πώς γίνεται η μόλυνση;
Η απειλή λειτουργεί μέσω του fileripple[.]com, ενός ψεύτικου ιστότοπου που προσποιείται ότι είναι μια νόμιμη υπηρεσία μετατροπής PDF. Οι χρήστες που επισκέπτονται τον ιστότοπο καλούνται να κατεβάσουν αυτό που φαίνεται να είναι ένα χρήσιμο εργαλείο με την ονομασία 'FileRipple.pkg'. Αυτό δημιουργεί την ψευδαίσθηση ενός γνήσιου εργαλείου PDF και εμφανίζει ένα ψεύτικο webview interface.
Δείτε επίσης: Το MixShell malware διανέμεται μέσω Contact Forms
Το κακόβουλο λογισμικό εκτελεί τις κακόβουλες δραστηριότητές του σιωπηλά, ενώ οι χρήστες πιστεύουν ότι αλληλεπιδρούν με μια νόμιμη εφαρμογή. Οι αναλυτές του 9to5Mac αναγνώρισαν αυτήν την εκστρατεία ως ιδιαίτερα ανησυχητική λόγω του zero-day status κατά την ανακάλυψή της.
Το κακόβουλο λογισμικό κατάφερε να αποφύγει όλους τους προμηθευτές ασφαλείας στο VirusTotal, υπογραμμίζοντας τη προηγμένη φύση αυτής της απειλής και τις προκλήσεις που αντιμετωπίζουν οι παραδοσιακές μέθοδοι ανίχνευσης.
Ο κύριος στόχος του JSCoreRunner malware είναι το browser hijacking, στοχεύοντας ειδικά τις εγκαταστάσεις του Google Chrome στα μολυσμένα συστήματα. Το JSCoreRunner διατρέχει συστηματικά τον κατάλογο ~/Library/Application Support/Google/Chrome/ για να εντοπίσει τόσο τα προεπιλεγμένα όσο και τα πρόσθετα προφίλ χρηστών. Στη συνέχεια χειραγωγεί τα search engine configurations μέσω TemplateURL object modifications.
Μόλυνση σε δύο στάδια
Η εκστρατεία JSCoreRunner χρησιμοποιεί μια προσεκτικά οργανωμένη στρατηγική ανάπτυξης δύο σταδίων, σχεδιασμένη να παρακάμπτει τους ελέγχους ασφαλείας του macOS. Το αρχικό στάδιο περιλαμβάνει ένα υπογεγραμμένο πακέτο που κατασκευάστηκε σκόπιμα για να φαίνεται νόμιμο, αν και η Apple ανακάλεσε στη συνέχεια την υπογραφή του προγραμματιστή. Αυτή η ανάκληση κάνει το macOS Gatekeeper να μπλοκάρει το πακέτο του πρώτου σταδίου, δημιουργώντας μια ψευδή αίσθηση ασφάλειας για τους χρήστες που μπορεί να υποθέσουν ότι η απειλή έχει εξουδετερωθεί.
Δείτε επίσης: Νέο Android malware μιμείται antivirus της ρωσικής FSB
Ωστόσο, το δεύτερο στάδιο, 'Safari14.1.2MojaveAuto.pkg', λειτουργεί ως μη υπογεγραμμένο payload που κατεβαίνει απευθείας από το ίδιο παραβιασμένο domain. Αυτή η μη υπογεγραμμένη φύση του επιτρέπει να παρακάμπτει τους προεπιλεγμένους μηχανισμούς αποκλεισμού του Gatekeeper, καθώς το macOS συνήθως επικεντρώνεται στην επικύρωση υπογραφής στα αρχικά κατεβασμένα πακέτα και όχι στα επόμενα στοιχεία που κατεβαίνουν.
Μετά την επιτυχή εγκατάσταση, το κακόβουλο λογισμικό καθιερώνει persistence τροποποιώντας τις ρυθμίσεις της μηχανής αναζήτησης του Chrome και ανακατευθύνοντας τους χρήστες σε ψεύτικες μηχανές αναζήτησης ενώ κρύβει τα αρχεία καταγραφής σφαλμάτων και τα session restoration prompts.
Οι χρήστες macOS βρίσκονται αντιμέτωποι με μια νέα απειλή που αποδεικνύει πως οι κυβερνοεγκληματίες δεν διστάζουν να αναζητήσουν όλο και πιο δημιουργικούς τρόπους διάδοσης κακόβουλου λογισμικού. Το JSCoreRunner κρύβεται πίσω από έναν παραπλανητικό ιστότοπο που μιμείται υπηρεσία μετατροπής PDF, ξεγελώντας ανυποψίαστους επισκέπτες να κατεβάσουν μολυσμένα πακέτα εγκατάστασης.
Δείτε επίσης: Το QuirkyLoader βοηθά στη διανομή infostealer malware
Η εκστρατεία αυτή ξεχωρίζει όχι μόνο λόγω της πολυπλοκότητάς της, αλλά και επειδή κατάφερε να διαφύγει πλήρως από τα συστήματα ανίχνευσης στο VirusTotal, αφήνοντας ακόμη και έμπειρους ερευνητές να μιλούν για ένα εξαιρετικά ανησυχητικό zero-day σενάριο. Σε αντίθεση με πιο «παραδοσιακές» επιθέσεις που διαδίδονται μέσω phishing emails ή cracked εφαρμογών, εδώ οι δράστες επένδυσαν σε μια ολοκληρωμένη ψευδή υπηρεσία, η οποία ενισχύει την αίσθηση νομιμότητας.
Η υπόθεση αυτή αναδεικνύει ένα κρίσιμο ζήτημα: η αίσθηση ότι τα συστήματα της Apple είναι από τη φύση τους πιο ασφαλή μπορεί να οδηγήσει σε εφησυχασμό. Οι τεχνικές που χρησιμοποιεί το JSCoreRunner δείχνουν ότι οι επιτιθέμενοι κατανοούν σε βάθος το πώς λειτουργεί το οικοσύστημα του macOS και αναπτύσσουν τακτικές ειδικά σχεδιασμένες να παρακάμπτουν τις ενσωματωμένες άμυνες.
Η συμβουλή των ειδικών είναι ξεκάθαρη: οι χρήστες πρέπει να κατεβάζουν λογισμικό αποκλειστικά από το επίσημο Apple App Store ή από αξιόπιστους προγραμματιστές, ενώ η χρήση ενημερωμένων λύσεων ασφαλείας τρίτων είναι πλέον πιο αναγκαία από ποτέ. Η νέα αυτή καμπάνια δείχνει πως ο πόλεμος ανάμεσα στους developers malware και τους αμυνόμενους συνεχίζεται, με τους επιτιθέμενους να βρίσκουν συνεχώς νέους τρόπους να παραμένουν ένα βήμα μπροστά.
© SecNews.gr - JSCoreRunner: Mac malware διανέμεται μέσω PDF Conversion Site
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672