Gli esperti di sicurezza informatica di Kaspersky hanno scoperto un metodo sofisticato utilizzato dagli hacker per fornire malware in grado di rubare informazioni agli utenti macOS. Questa campagna insidiosa utilizza un approccio furtivo, utilizzando record DNS per nascondere script dannosi e prendere di mira gli utenti di macOS Ventura e versioni successive.
App macOS crackate che forniscono malware per il furto di informazioni
L'attacco ruota attorno alla distribuzione di applicazioni crackate riconfezionato come file PKG, mimetizzarsi a trojan all'interno del software apparentemente innocuo.
La metodologia di attacco è stata portata alla luce dai ricercatori della società di sicurezza informatica Kaspersky, che hanno analizzato le fasi della catena del contagio. Le vittime diventano involontariamente parte della campagna scaricando ed eseguendo il malware, guidati dalle istruzioni di installazione che richiedono di inserire il file dannoso nel file /Applicazioni/ cartella. Gli aggressori sfruttano gli utenti’ aspettative, mascherando il malware da attivatore dell'app crackata inizialmente scaricata.
Panoramica tecnica degli attacchi
Al momento dell'esecuzione, emerge una finestra ingannevole dell'Attivatore, progettato strategicamente per indurre le vittime a fornire la propria password di amministratore. Questa tattica ingannevole consente al malware di ottenere privilegi elevati, aprendo la strada a un impatto più ampio e dannoso.
La sofisticatezza di questa campagna risiede nel il suo utilizzo dei record DNS per oscurare gli script dannosi, eludendo i metodi di rilevamento tradizionali e rendendo difficile l’intervento delle misure di sicurezza. Poiché gli utenti seguono istruzioni di installazione apparentemente innocue, il trojan si insedia silenziosamente nel sistema della vittima, pronto a svolgere le sue capacità di furto di informazioni.
Con l'autorizzazione utente concessa, il malware avvia il suo attacco eseguendo un "tool’ eseguibile (Mach-O) tramite il file 'AuthorizationExecuteWithPrivileges’ funzione. Per mascherare ulteriormente le sue attività, il malware verifica la presenza di Python 3 sul sistema e lo installa se assente, mascherando abilmente l’intero processo come benigno “patch dell'app.”
A seguito di questa iniziazione furtiva, il malware stabilisce un contatto con il suo comando e controllo (C2) server, operando sotto la maschera ingannevole di “mela-salute[.]org.” L'obiettivo è recuperare uno script Python con codifica base64 dal server, in grado di eseguire comandi arbitrari sul dispositivo compromesso.
Comunicazione con il Server C2
I ricercatori hanno anche scoperto un metodo interessante utilizzato dall’autore della minaccia per comunicare con il server C2. Utilizzando una combinazione di parole da due elenchi codificati e una sequenza generata casualmente di cinque lettere, il malware costruisce un nome di dominio di terzo livello, formando un URL. Questo URL, quando utilizzato per effettuare una richiesta a un server DNS, cerca un record TXT per il dominio, secondo i risultati degli esperti di sicurezza informatica di Kaspersky.
Questo metodo consente al malware di nascondere efficacemente le sue attività nefaste all'interno del normale traffico web. Il carico utile dello script Python, codificati come record TXT, viene scaricato dal server DNS senza destare sospetti, in quanto tali richieste appaiono tipiche ed innocue.
Funziona come downloader, il compito principale di questo script era recuperare un secondo script Python, fungendo da backdoor con ampie capacità. Una volta attivato, lo script backdoor raccoglieva e trasmetteva clandestinamente informazioni sensibili sul sistema infetto, versione con OS, elenchi di directory, applicazioni installate, tipo di CPU, e indirizzo IP esterno.
Lo strumento’ L'eseguibile utilizzato nell'attacco ha dimostrato un altro aspetto della strategia del malware modificando il file '/Library/LaunchAgents/launched.
Durante il loro esame, I ricercatori di Kaspersky hanno osservato che il comando e controllo (C2) il server forniva costantemente versioni aggiornate dello script backdoor, suggerendo uno sviluppo continuo. Tuttavia, non è stata assistita alcuna esecuzione di comandi, lasciando spazio a speculazioni su potenziali funzionalità future ancora da implementare.
Il ladro di portafogli crittografici
Lo script scaricato rivelava una svolta sinistra in quanto conteneva funzioni progettate per ispezionare il sistema infetto per verificare la presenza di portafogli Bitcoin Core ed Exodus. Se rilevato, il malware ha sostituito questi portafogli con copie backdoor ottenute da "apple-analyzer".[.]com.’ I portafogli compromessi contenevano codice dannoso progettato per inviare informazioni sensibili, comprese le frasi seme, password, nomi, ed equilibri, direttamente al server C2 dell'attaccante. Gli utenti che inconsapevolmente rispettano le richieste inaspettate di reinserire i dettagli del portafoglio rischiano che i loro portafogli vengano svuotati.
Kaspersky ha sottolineato che le applicazioni crackate utilizzate come vettori in questa campagna fungono da convenienti gateway per consentire ad autori malintenzionati di infiltrarsi negli utenti’ computer. Mentre l’uso di applicazioni crackate per la distribuzione di malware non è una novità, questa campagna esemplifica l’adattabilità degli autori delle minacce nell’ideazione di metodi innovativi, come nascondere il payload all'interno di un record TXT di dominio su un server DNS.
Questa rivelazione non sorprende affatto, considerando le tendenze generali del malware macOS e il prevalere degli infostealer che eludono i meccanismi di difesa di XProtect.