シェル構成フックは、マルウェアの実行が停止すると自動的に再起動します。
このマルウェアは、ブラウザの認証情報、保存されたCookie、SSHキーなどを標的とします。
また、SOCKS5プロキシサーバーを使用してユーザーを偽装し、リモートネットワークにアクセスすることで、iMessageの履歴やメール記録などのユーザーデータをリアルタイムで収集します。
GhostLoaderは、内部的にはNPMテレメトリサービスに偽装されており、JavaScriptバンドルによって永続化メカニズムがサポートされています。
コメント