カスペルスキーのサイバーセキュリティ専門家は、macOS ユーザーに情報を盗むマルウェアを配布するためにハッカーが使用した高度な手法を発見しました。. この陰湿なキャンペーンはステルスなアプローチを採用しています, DNS レコードを利用して悪意のあるスクリプトを隠蔽し、macOS Ventura 以降のバージョンのユーザーをターゲットにする.
クラックされた macOS アプリが情報を盗むマルウェアを配信
攻撃は以下の配布を中心に展開します。 クラックされたアプリケーション PKG ファイルとして再パッケージ化, 偽装する トロイの木馬 一見無害なソフトウェア内で.
この攻撃手法はサイバーセキュリティ企業カスペルスキーの研究者によって明らかになった。, 感染連鎖の段階を解剖したのは誰ですか. 被害者はマルウェアをダウンロードして実行することで、知らず知らずのうちにキャンペーンに参加してしまう, インストール手順に従って、悪意のあるファイルを /アプリケーション/ フォルダ. 攻撃者はユーザーを利用します’ 期待, マルウェアを最初にダウンロードしたクラックされたアプリのアクティベーターとして偽装する.
攻撃の技術的概要
実行時, 欺瞞的な Activator ウィンドウが表示される, 被害者をだまして管理者パスワードを提供させるよう戦略的に設計されている. この欺瞞的な戦術により、マルウェアは昇格された権限を取得できるようになります。, より広範囲でより有害な影響への道を開く.
このキャンペーンの洗練された点は、 DNS レコードの使用 悪意のあるスクリプトを隠すため, 従来の検出方法を回避し、セキュリティ対策の介入を困難にします. ユーザーが一見無害なインストール手順に従うと、, トロイの木馬は被害者のシステムに静かに足場を築きます, 情報窃取能力を実行する準備ができている.
ユーザー権限が付与されている場合, マルウェアは「ツール」を実行することで攻撃を開始します。’ 実行可能 (マッオー) 「AuthorizationExecuteWithPrivileges」経由’ 関数. その活動をさらに隠すため, マルウェアは Python の存在をチェックします 3 システム上に存在し、存在しない場合はインストールします, プロセス全体を無害なものとして巧妙に偽装する “アプリのパッチ適用。”
この秘密のイニシエーションに続いて, マルウェアはコマンド アンド コントロールとの接続を確立します (C2) サーバ, ~という欺瞞を装って活動している “リンゴの健康[.]組織。” 目的は、base64 でエンコードされた Python スクリプトをサーバーから取得することです。, 侵害されたデバイス上で任意のコマンドを実行できる.
C2サーバーとの通信
研究者らは、攻撃者が C2 サーバーと通信するために使用した興味深い方法も発見しました。. 2 つのハードコードされたリストの単語の組み合わせと、ランダムに生成された 5 文字のシーケンスを使用する, マルウェアは第 3 レベルのドメイン名を構築します, URLの形成. このURL, DNS サーバーにリクエストを行うために使用される場合, ドメインの TXT レコードをシークします, カスペルスキーのサイバーセキュリティ専門家の調査結果によると.
この方法により、マルウェアは通常の Web トラフィック内でその不正行為を効果的に隠すことができます。. Python スクリプトのペイロード, TXTレコードとしてエンコードされる, DNS サーバーから疑いを抱かずにダウンロードされる, これらのリクエストは典型的で無害であるように見えるため、.
ダウンローダーとして機能する, このスクリプトの主なタスクは、2 番目の Python スクリプトをフェッチすることでした, 広範な機能を備えたバックドアとして機能する. アクティベートされると, バックドア スクリプトは、感染したシステムに関する機密情報を密かに収集し、送信しました。, OSバージョンを含む, ディレクトリリスト, インストールされたアプリケーション, CPUタイプ, および外部IPアドレス.
ツール’ 攻撃に使用された実行可能ファイルは、「/Library/LaunchAgents/launched」を変更することで、マルウェアの戦略の別の側面を示しました。.
試験中, カスペルスキーの研究者は、コマンド アンド コントロールが (C2) サーバーはバックドア スクリプトのアップグレードされたバージョンを一貫して提供します, 進行中の開発を示唆する. でも, コマンドの実行は目撃されませんでした, まだ実装されていない潜在的な将来の機能について推測の余地を残す.
暗号通貨ウォレットを盗む者
ダウンロードされたスクリプトには、感染したシステムにビットコイン コアとエクソダス ウォレットが存在するかを検査するように設計された機能が含まれていたため、邪悪な展開が明らかになりました。. 検出された場合, マルウェアはこれらのウォレットを「apple-analyzer」から取得したバックドアコピーに置き換えました。[.]コム。’ 侵害されたウォレットには機密情報を送信するように設計された悪意のあるコードが含まれていました, シードフレーズを含む, パスワード, 名前, そしてバランス, 攻撃者の C2 サーバーに直接送信. ユーザーがウォレットの詳細を再入力するという予期せぬプロンプトに何の疑いもなく従うと、ウォレットが空になる危険があります.
カスペルスキーは、このキャンペーンでベクターとして使用されたクラックされたアプリケーションは、悪意のある攻撃者がユーザーに侵入するための便利なゲートウェイとして機能していると強調しました。’ コンピューター. クラックされたアプリケーションをマルウェア配信に使用することは新しいことではありませんが、, このキャンペーンは、革新的な手法を考案する際の脅威アクターの適応力を例示しています。, DNS サーバー上のドメイン TXT レコード内にペイロードを隠すなど.
この啓示はまったく驚くべきことではない, macOS マルウェアの全体的な傾向を考慮し、 XProtect の防御メカニズムを回避する情報窃取者の蔓延.