Cybersikkerhedseksperter fra Kaspersky har afsløret en sofistikeret metode, der anvendes af hackere til at levere informationstjælende malware til macOS-brugere. Denne lumske kampagne bruger en snigende tilgang, bruge DNS-poster til at skjule ondsindede scripts og målrette mod brugere af macOS Ventura og nyere versioner.
Knækkede macOS-apps, der leverer infostjælende malware
Angrebet drejer sig om fordelingen af knækkede applikationer ompakket som PKG-filer, camouflering a trojan inden for den tilsyneladende harmløse software.
Angrebsmetoden blev bragt frem i lyset af forskere hos cybersikkerhedsfirmaet Kaspersky, som dissekerede stadierne af infektionskæden. Ofre bliver uforvarende en del af kampagnen ved at downloade og udføre malwaren, guidet af installationsinstruktioner, der beder dem om at placere den skadelige fil i /Ansøgninger/ folder. Angriberne udnytter brugerne’ forventninger, skjuler malwaren som en aktivator for den crackede app, de oprindeligt downloadede.
Teknisk oversigt over angrebene
Ved udførelse, et vildledende Activator-vindue dukker op, strategisk designet til at bedrage ofrene til at give deres administratoradgangskode. Denne vildledende taktik giver malware mulighed for at opnå forhøjede privilegier, baner vejen for en bredere og mere skadelig påvirkning.
Det sofistikerede ved denne kampagne ligger i dets brug af DNS-poster at skjule de ondsindede scripts, undgå traditionelle detektionsmetoder og gøre det udfordrende for sikkerhedsforanstaltninger at gribe ind. Som brugere følger tilsyneladende harmløse installationsinstruktioner, trojaneren etablerer stille og roligt fodfæste på ofrets system, klar til at udføre sine informationstjælende kapaciteter.
Med brugertilladelse givet, malwaren starter sit angreb ved at udføre et 'værktøj’ eksekverbar (Mach-O) via 'AuthorizationExecuteWithPrivileges’ funktion. For yderligere at maskere sine aktiviteter, malwaren kontrollerer tilstedeværelsen af Python 3 på systemet og installerer det, hvis det er fraværende, klogt at skjule hele processen som godartet “app patching.”
Efter denne snigende indvielse, malwaren etablerer kontakt med dens kommando og kontrol (C2) server, opererer under vildledende dække af “æble-sundhed[.]org.” Målet er at hente et base64-kodet Python-script fra serveren, i stand til at udføre vilkårlige kommandoer på den kompromitterede enhed.
Kommunikation med C2-serveren
Forskere afslørede også en spændende metode brugt af trusselsaktøren til at kommunikere med C2-serveren. Brug af en kombination af ord fra to hårdkodede lister og en tilfældigt genereret sekvens på fem bogstaver, malwaren konstruerer et domænenavn på tredje niveau, danne en URL. Denne URL, når det bruges til at lave en anmodning til en DNS-server, søger en TXT-post for domænet, ifølge resultater fra cybersikkerhedseksperter hos Kaspersky.
Denne metode gør det muligt for malwaren effektivt at skjule sine uhyggelige aktiviteter inden for normal webtrafik. Python-scriptets nyttelast, kodet som TXT-poster, downloades fra DNS-serveren uden at vække mistanke, da disse anmodninger forekommer typiske og harmløse.
Fungerer som downloader, dette scripts primære opgave var at hente et andet Python-script, fungerer som en bagdør med omfattende muligheder. Når den er aktiveret, bagdørs-scriptet indsamlede og transmitterede hemmeligt følsomme oplysninger om det inficerede system, Herunder OS-version, biblioteksfortegnelser, installerede programmer, CPU typen, og ekstern IP-adresse.
Værktøjet’ eksekverbar i angrebet demonstrerede en anden facet af malwarens strategi ved at ændre '/Library/LaunchAgents/launched.
under deres undersøgelse, Kaspersky-forskere observerede, at kommando og kontrol (C2) server leverede konsekvent opgraderede versioner af bagdørsscriptet, foreslår løbende udvikling. Men, ingen kommandoudførelse var vidne til, efterlader plads til spekulationer om potentielle fremtidige funktionaliteter, der endnu ikke er implementeret.
Crypto Wallet-tyveren
Det downloadede script afslørede et uhyggeligt twist, da det indeholdt funktioner designet til at inspicere det inficerede system for tilstedeværelsen af Bitcoin Core og Exodus tegnebøger. Hvis opdages, malwaren erstattede disse tegnebøger med bagdørskopier hentet fra 'apple-analyzer[.]com.’ De kompromitterede tegnebøger indeholdt ondsindet kode designet til at sende følsomme oplysninger, inklusive frøsætninger, adgangskoder, navne, og balancerer, direkte til angriberens C2-server. Brugere, der intetanende overholder uventede opfordringer om at indtaste pungoplysninger igen, risikerer at få deres pung tømt.
Kaspersky understregede, at de crackede applikationer, der bruges som vektorer i denne kampagne, tjener som praktiske indgange for ondsindede aktører til at infiltrere brugere’ computere. Mens brugen af crackede applikationer til levering af malware ikke er ny, denne kampagne er et eksempel på trusselsaktørernes tilpasningsevne til at udtænke innovative metoder, såsom at skjule nyttelasten i en domæne-TXT-post på en DNS-server.
Denne åbenbaring er overhovedet ikke overraskende, i betragtning af de overordnede macOS malware-tendenser og overherredømmet af infotyvere, der unddrager sig XProtects forsvarsmekanismer.