Cybersicherheitsexperten von Kaspersky haben eine ausgeklügelte Methode aufgedeckt, mit der Hacker macOS-Benutzern Malware zum Diebstahl von Informationen übermitteln. Diese heimtückische Kampagne verfolgt einen heimlichen Ansatz, Verwendung von DNS-Einträgen, um bösartige Skripte zu verbergen und Benutzer von macOS Ventura und späteren Versionen anzusprechen.
Geknackte macOS-Apps, die Infos stehlende Malware bereitstellen
Der Angriff dreht sich um die Verbreitung von Geknackte Anwendungen als PKG-Dateien neu verpackt, Tarnung a Trojaner innerhalb der scheinbar harmlosen Software.
Die Angriffsmethode wurde von Forschern des Cybersicherheitsunternehmens Kaspersky ans Licht gebracht, der die Stadien der Infektionskette analysiert hat. Opfer werden unabsichtlich Teil der Kampagne, indem sie die Malware herunterladen und ausführen, geführt von Installationsanweisungen, die sie auffordern, die schädliche Datei im zu platzieren /Bewerbungen/ Mappe. Die Angreifer nutzen Benutzer aus’ Erwartungen, Sie tarnen die Malware als Aktivator für die geknackte App, die sie ursprünglich heruntergeladen hatten.
Technischer Überblick über die Angriffe
Bei der Ausführung, Es erscheint ein trügerisches Aktivierungsfenster, Strategisch darauf ausgelegt, Opfer dazu zu verleiten, ihr Administratorkennwort preiszugeben. Diese betrügerische Taktik ermöglicht es der Malware, erhöhte Berechtigungen zu erlangen, den Weg für eine umfassendere und schädlichere Wirkung ebnen.
Die Raffinesse dieser Kampagne liegt darin die Verwendung von DNS-Einträgen um die bösartigen Skripte zu verschleiern, Dadurch werden herkömmliche Erkennungsmethoden umgangen und es wird für Sicherheitsmaßnahmen schwierig, einzugreifen. Da Benutzer scheinbar harmlose Installationsanweisungen befolgen, Der Trojaner etabliert sich heimlich im System des Opfers, bereit, seine Fähigkeiten zum Informationsdiebstahl auszuüben.
Mit erteilter Benutzererlaubnis, Die Malware leitet ihren Angriff durch die Ausführung eines „Tools“ ein’ ausführbar (Macho) über die 'AuthorizationExecuteWithPrivileges’ Funktion. Um seine Aktivitäten weiter zu verschleiern, Die Malware prüft, ob Python vorhanden ist 3 auf dem System und installiert es, falls es nicht vorhanden ist, den gesamten Prozess geschickt als harmlos tarnen “App-Patching.”
Nach dieser heimlichen Einweihung, Die Schadsoftware stellt Kontakt zu ihrem Befehls- und Kontrollorgan her (C2) Server, unter dem betrügerischen Deckmantel agieren “Apfelgesundheit[.]org.” Das Ziel besteht darin, ein Base64-codiertes Python-Skript vom Server abzurufen, in der Lage, beliebige Befehle auf dem kompromittierten Gerät auszuführen.
Kommunikation mit dem C2-Server
Die Forscher entdeckten außerdem eine faszinierende Methode, mit der der Bedrohungsakteur mit dem C2-Server kommuniziert. Verwendung einer Kombination von Wörtern aus zwei fest codierten Listen und einer zufällig generierten Folge von fünf Buchstaben, Die Malware erstellt einen Domänennamen der dritten Ebene, Bilden einer URL. Diese URL, wenn es verwendet wird, um eine Anfrage an einen DNS-Server zu stellen, sucht nach einem TXT-Eintrag für die Domain, nach Erkenntnissen der Cybersicherheitsexperten von Kaspersky.
Mit dieser Methode kann die Malware ihre schädlichen Aktivitäten effektiv im normalen Webverkehr verbergen. Die Nutzlast des Python-Skripts, als TXT-Datensätze kodiert, wird ohne Verdacht vom DNS-Server heruntergeladen, da diese Anfragen typisch und harmlos erscheinen.
Funktioniert als Downloader, Die Hauptaufgabe dieses Skripts bestand darin, ein zweites Python-Skript abzurufen, dient als Hintertür mit umfangreichen Funktionen. Einmal aktiviert, Das Backdoor-Skript sammelte und übermittelte heimlich vertrauliche Informationen über das infizierte System, einschließlich OS-Version, Verzeichniseinträge, installierten Anwendungen, CPU-Typ, und externe IP-Adresse.
Das Werkzeug’ Die bei dem Angriff verwendete ausführbare Datei demonstrierte einen weiteren Aspekt der Strategie der Malware, indem sie die Datei „/Library/LaunchAgents/launched“ modifizierte.
Während ihrer Untersuchung, Kaspersky-Forscher stellten fest, dass es sich um Command and Control handelt (C2) Der Server stellte ständig aktualisierte Versionen des Backdoor-Skripts bereit, was auf eine kontinuierliche Weiterentwicklung hindeutet. Jedoch, Es wurde keine Befehlsausführung beobachtet, Dies lässt Raum für Spekulationen über mögliche zukünftige Funktionen, die noch implementiert werden müssen.
Der Krypto-Wallet-Stealer
Das heruntergeladene Skript enthüllte eine finstere Wendung, da es Funktionen enthielt, die dazu dienten, das infizierte System auf das Vorhandensein von Bitcoin Core- und Exodus-Wallets zu überprüfen. wenn festgestellt, Die Malware ersetzte diese Wallets durch Backdoor-Kopien, die sie von „Apple-Analyzer“ erhalten hatte[.]com.’ Die kompromittierten Wallets enthielten bösartigen Code, der zum Senden sensibler Informationen entwickelt wurde, einschließlich Startphrasen, Passwörter, Namen, und Salden, direkt an den C2-Server des Angreifers. Benutzer, die unerwarteten Aufforderungen zur erneuten Eingabe ihrer Wallet-Daten ahnungslos nachkommen, riskieren, dass ihre Wallets geleert werden.
Kaspersky betonte, dass die geknackten Anwendungen, die in dieser Kampagne als Vektoren verwendet werden, als praktische Einfallstore für böswillige Akteure dienen, um Benutzer zu infiltrieren’ Computer. Der Einsatz gecrackter Anwendungen zur Verbreitung von Malware ist zwar nicht neu, Diese Kampagne veranschaulicht die Anpassungsfähigkeit von Bedrohungsakteuren bei der Entwicklung innovativer Methoden, B. das Verbergen der Nutzdaten in einem Domänen-TXT-Eintrag auf einem DNS-Server.
Diese Offenbarung ist überhaupt nicht überraschend, unter Berücksichtigung der allgemeinen macOS-Malware-Trends und Die Verbreitung von Infostealern, die den Verteidigungsmechanismen von XProtect entgehen.