Os especialistas em segurança cibernética da Kaspersky descobriram um método sofisticado empregado por hackers para fornecer malware que rouba informações a usuários do macOS. Esta campanha insidiosa emprega uma abordagem furtiva, utilizando registros DNS para ocultar scripts maliciosos e direcionar usuários do macOS Ventura e versões posteriores.
Aplicativos macOS crackeados que fornecem malware para roubo de informações
O ataque gira em torno da distribuição de aplicativos quebrados reembalado como arquivos PKG, camuflar um troiano dentro do software aparentemente inofensivo.
A metodologia de ataque foi revelada por pesquisadores da empresa de segurança cibernética Kaspersky, que dissecou as etapas da cadeia de infecção. As vítimas involuntariamente tornam-se parte da campanha baixando e executando o malware, guiados pelas instruções de instalação que os solicitam a colocar o arquivo malicioso no /Formulários/ pasta. Os invasores aproveitam os usuários’ expectativas, disfarçando o malware como um ativador do aplicativo crackeado que eles baixaram inicialmente.
Visão Geral Técnica dos Ataques
Após a execução, uma janela enganosa do ativador surge, estrategicamente projetado para enganar as vítimas e fazê-las fornecer sua senha de administrador. Essa tática enganosa permite que o malware obtenha privilégios elevados, abrindo caminho para um impacto mais amplo e mais prejudicial.
A sofisticação desta campanha reside seu uso de registros DNS para ocultar os scripts maliciosos, evitando métodos de detecção tradicionais e dificultando a intervenção de medidas de segurança. À medida que os usuários seguem instruções de instalação aparentemente inócuas, o trojan estabelece silenciosamente uma posição no sistema da vítima, pronto para realizar suas capacidades de roubo de informações.
Com permissão do usuário concedida, o malware inicia seu ataque executando uma 'ferramenta’ executável (Macho) através do 'AuthorizationExecuteWithPrivileges’ função. Para mascarar ainda mais suas atividades, o malware verifica a presença de Python 3 no sistema e instala-o se estiver ausente, disfarçando habilmente todo o processo como benigno “correção de aplicativos.”
Após esta iniciação furtiva, o malware estabelece contato com seu comando e controle (C2) servidor, operando sob o disfarce enganoso de “saúde da maçã[.]organização.” O objetivo é recuperar um script Python codificado em base64 do servidor, capaz de executar comandos arbitrários no dispositivo comprometido.
Comunicação com o Servidor C2
Os pesquisadores também descobriram um método intrigante empregado pelo agente da ameaça para se comunicar com o servidor C2. Usando uma combinação de palavras de duas listas codificadas e uma sequência de cinco letras gerada aleatoriamente, o malware constrói um nome de domínio de terceiro nível, formando um URL. Este URL, quando usado para fazer uma solicitação a um servidor DNS, busca um registro TXT para o domínio, de acordo com descobertas de especialistas em segurança cibernética da Kaspersky.
Este método permite que o malware oculte efetivamente suas atividades nefastas no tráfego normal da web.. A carga útil do script Python, codificado como registros TXT, é baixado do servidor DNS sem levantar suspeitas, já que esses pedidos parecem típicos e inócuos.
Funcionando como um downloader, a principal tarefa deste script era buscar um segundo script Python, servindo como um backdoor com amplos recursos. Uma vez ativado, o script backdoor reuniu e transmitiu clandestinamente informações confidenciais sobre o sistema infectado, versão, incluindo OS, listagens de diretório, aplicativos instalados, Tipo de CPU, e endereço IP externo.
A ferramenta’ executável empregado no ataque demonstrou outra faceta da estratégia do malware, modificando o arquivo '/Library/LaunchAgents/launched.
Durante o exame, Os pesquisadores da Kaspersky observaram que o comando e controle (C2) servidor forneceu consistentemente versões atualizadas do script backdoor, sugerindo desenvolvimento contínuo. Contudo, nenhuma execução de comando foi testemunhada, deixando espaço para especulações sobre potenciais funcionalidades futuras ainda a serem implementadas.
O ladrão de carteira criptografada
O script baixado revelou uma reviravolta sinistra, pois continha funções projetadas para inspecionar o sistema infectado quanto à presença de carteiras Bitcoin Core e Exodus.. Se for detectada, o malware substituiu essas carteiras por cópias backdoor obtidas do 'apple-analyzer[.]com.’ As carteiras comprometidas continham códigos maliciosos projetados para enviar informações confidenciais, incluindo frases-semente, senhas, nomes, e saldos, diretamente para o servidor C2 do invasor. Os usuários que, desavisadamente, obedecem a solicitações inesperadas para inserir novamente os detalhes da carteira correm o risco de ter suas carteiras esvaziadas.
A Kaspersky enfatizou que os aplicativos crackeados usados como vetores nesta campanha servem como portas de entrada convenientes para que agentes mal-intencionados se infiltrem nos usuários.’ computadores. Embora o uso de aplicativos crackeados para entrega de malware não seja novo, esta campanha exemplifica a adaptabilidade dos atores de ameaças na concepção de métodos inovadores, como ocultar a carga dentro de um registro TXT de domínio em um servidor DNS.
Esta revelação não é nada surpreendente, considerando as tendências gerais de malware para macOS e a prevalência de infostealers evitando os mecanismos de defesa do XProtect.