Gekraakte macOS-apps leveren infostealers die crypto-portemonnees leegmaken

Cybersecurity-experts van Kaspersky hebben een geavanceerde methode ontdekt die door hackers wordt gebruikt om informatiestelende malware aan macOS-gebruikers te leveren. Deze verraderlijke campagne maakt gebruik van een heimelijke aanpak, DNS-records gebruiken om kwaadaardige scripts te verbergen en zich te richten op gebruikers van macOS Ventura en latere versies.

Gekraakte macOS-apps die informatiestelende malware leveren

De aanval draait om de verspreiding van gekraakte applicaties opnieuw verpakt als PKG-bestanden, camoufleren A trojan binnen de ogenschijnlijk onschuldige software.

De aanvalsmethodologie werd aan het licht gebracht door onderzoekers van cyberbeveiligingsbedrijf Kaspersky, die de stadia van de infectieketen ontleedde. Slachtoffers worden onbewust onderdeel van de campagne door de malware te downloaden en uit te voeren, begeleid door installatie-instructies die hen vragen het kwaadaardige bestand in het /Toepassingen/ map. De aanvallers maken misbruik van gebruikers’ verwachtingen, waarbij de malware werd vermomd als activator voor de gekraakte app die ze aanvankelijk hadden gedownload.

Technisch overzicht van de aanvallen

Bij uitvoering, er verschijnt een misleidend Activator-venster, strategisch ontworpen om slachtoffers te misleiden zodat ze hun beheerderswachtwoord opgeven. Deze misleidende tactiek zorgt ervoor dat de malware hogere rechten krijgt, waardoor de weg wordt vrijgemaakt voor een bredere en schadelijker impact.

De verfijning van deze campagne ligt in het gebruik van DNS-records om de kwaadaardige scripts te verbergen, het omzeilen van traditionele detectiemethoden en het ingrijpen van beveiligingsmaatregelen lastig maken. Terwijl gebruikers schijnbaar onschadelijke installatie-instructies volgen, de trojan krijgt stilletjes voet aan de grond op het systeem van het slachtoffer, klaar om zijn informatiestelende capaciteiten uit te voeren.

Met toestemming van de gebruiker, de malware initieert zijn aanval door een 'tool' uit te voeren’ uitvoerbaar (Macho) via het bestand 'AuthorizationExecuteWithPrivileges’ functie. Om zijn activiteiten verder te maskeren, de malware controleert op de aanwezigheid van Python 3 op het systeem en installeert het indien afwezig, het hele proces slim als goedaardig vermommen “app-patching.”

Na deze heimelijke initiatie, de malware maakt contact met zijn command and control (C2) server, opererend onder het misleidende mom van “appel-gezondheid[.]org.” Het doel is om een met base64 gecodeerd Python-script van de server op te halen, in staat om willekeurige opdrachten uit te voeren op het gecompromitteerde apparaat.

Communicatie met de C2-server

Onderzoekers ontdekten ook een intrigerende methode die door de bedreigingsacteur wordt gebruikt om met de C2-server te communiceren. Gebruikmakend van een combinatie van woorden uit twee hardgecodeerde lijsten en een willekeurig gegenereerde reeks van vijf letters, de malware construeert een domeinnaam op het derde niveau, het vormen van een URL. Deze URL, wanneer gebruikt om een verzoek in te dienen bij een DNS-server, zoekt naar een TXT-record voor het domein, Dat blijkt uit bevindingen van cybersecurity-experts bij Kaspersky.

Met deze methode kan de malware zijn snode activiteiten effectief verbergen binnen normaal webverkeer. De payload van het Python-script, gecodeerd als TXT-records, wordt gedownload van de DNS-server zonder argwaan te wekken, omdat deze verzoeken typisch en onschadelijk lijken.

Functioneert als downloader, De primaire taak van dit script was het ophalen van een tweede Python-script, dient als achterdeur met uitgebreide mogelijkheden. Eenmaal geactiveerd, het achterdeurscript verzamelde en verzendte clandestien gevoelige informatie over het geïnfecteerde systeem, inclusief OS-versie, directoryvermeldingen, geïnstalleerde applicaties, CPU-type, en extern IP-adres.

Het gereedschap’ uitvoerbaar bestand dat bij de aanval werd gebruikt, demonstreerde een ander facet van de strategie van de malware door het wijzigen van de '/Library/LaunchAgents/launched..plist’ om persistentie tussen het opnieuw opstarten van het systeem te garanderen, het verstevigen van zijn positie op het gecompromitteerde apparaat.

Tijdens hun onderzoek, Kaspersky-onderzoekers merkten op dat command and control een rol speelt (C2) server leverde consequent verbeterde versies van het achterdeurscript, suggereert een voortdurende ontwikkeling. Echter, er werd geen uitvoering van een bevel waargenomen, waardoor er ruimte is voor speculatie over mogelijke toekomstige functionaliteiten die nog moeten worden geïmplementeerd.

De Crypto-portemonnee-stealer

Het gedownloade script onthulde een sinistere wending omdat het functies bevatte die waren ontworpen om het geïnfecteerde systeem te inspecteren op de aanwezigheid van Bitcoin Core- en Exodus-wallets. Als gedetecteerd, de malware verving deze portemonnees door achterdeurkopieën verkregen van 'apple-analyzer'[.]com.’ De gecompromitteerde portemonnees bevatten kwaadaardige code die was ontworpen om gevoelige informatie te verzenden, inclusief zaadzinnen, wachtwoorden, namen, en balansen, rechtstreeks naar de C2-server van de aanvaller. Gebruikers die nietsvermoedend gehoor geven aan onverwachte verzoeken om portemonneegegevens opnieuw in te voeren, lopen het risico dat hun portemonnee wordt geleegd.

Kaspersky benadrukte dat de gekraakte applicaties die in deze campagne als vectoren worden gebruikt, dienen als handige toegangspoorten voor kwaadwillende actoren om gebruikers te infiltreren.’ computers. Hoewel het gebruik van gekraakte applicaties voor het leveren van malware niet nieuw is, deze campagne is een voorbeeld van het aanpassingsvermogen van dreigingsactoren bij het bedenken van innovatieve methoden, zoals het verbergen van de payload binnen een domein-TXT-record op een DNS-server.

Deze onthulling is helemaal niet verrassend, gezien de algemene macOS-malwaretrends en de overhand van infostealers die de verdedigingsmechanismen van XProtect ontwijken.