Casa > cibernético Notícias > Cracked macOS Apps Deliver Infostealers that Drain Crypto Wallets
CYBER NEWS

Aplicativos macOS crackeados fornecem ladrões de informações que drenam carteiras criptografadas

Os especialistas em segurança cibernética da Kaspersky descobriram um método sofisticado empregado por hackers para fornecer malware que rouba informações a usuários do macOS. Esta campanha insidiosa emprega uma abordagem furtiva, utilizando registros DNS para ocultar scripts maliciosos e direcionar usuários do macOS Ventura e versões posteriores.

Aplicativos macOS crackeados que fornecem malware para roubo de informações

O ataque gira em torno da distribuição de aplicativos quebrados reembalado como arquivos PKG, camuflar um troiano dentro do software aparentemente inofensivo.

A metodologia de ataque foi revelada por pesquisadores da empresa de segurança cibernética Kaspersky, que dissecou as etapas da cadeia de infecção. As vítimas involuntariamente tornam-se parte da campanha baixando e executando o malware, guiados pelas instruções de instalação que os solicitam a colocar o arquivo malicioso no /Formulários/ pasta. Os invasores aproveitam os usuários’ expectativas, disfarçando o malware como um ativador do aplicativo crackeado que eles baixaram inicialmente.

Aplicativos macOS crackeados fornecem ladrões de informações que drenam carteiras criptografadas

Visão Geral Técnica dos Ataques

Após a execução, uma janela enganosa do ativador surge, estrategicamente projetado para enganar as vítimas e fazê-las fornecer sua senha de administrador. Essa tática enganosa permite que o malware obtenha privilégios elevados, abrindo caminho para um impacto mais amplo e mais prejudicial.

A sofisticação desta campanha reside seu uso de registros DNS para ocultar os scripts maliciosos, evitando métodos de detecção tradicionais e dificultando a intervenção de medidas de segurança. À medida que os usuários seguem instruções de instalação aparentemente inócuas, o trojan estabelece silenciosamente uma posição no sistema da vítima, pronto para realizar suas capacidades de roubo de informações.




Com permissão do usuário concedida, o malware inicia seu ataque executando uma 'ferramenta’ executável (Macho) através do 'AuthorizationExecuteWithPrivileges’ função. Para mascarar ainda mais suas atividades, o malware verifica a presença de Python 3 no sistema e instala-o se estiver ausente, disfarçando habilmente todo o processo como benigno “correção de aplicativos.”

Após esta iniciação furtiva, o malware estabelece contato com seu comando e controle (C2) servidor, operando sob o disfarce enganoso de “saúde da maçã[.]organização.” O objetivo é recuperar um script Python codificado em base64 do servidor, capaz de executar comandos arbitrários no dispositivo comprometido.

Comunicação com o Servidor C2

Os pesquisadores também descobriram um método intrigante empregado pelo agente da ameaça para se comunicar com o servidor C2. Usando uma combinação de palavras de duas listas codificadas e uma sequência de cinco letras gerada aleatoriamente, o malware constrói um nome de domínio de terceiro nível, formando um URL. Este URL, quando usado para fazer uma solicitação a um servidor DNS, busca um registro TXT para o domínio, de acordo com descobertas de especialistas em segurança cibernética da Kaspersky.

Este método permite que o malware oculte efetivamente suas atividades nefastas no tráfego normal da web.. A carga útil do script Python, codificado como registros TXT, é baixado do servidor DNS sem levantar suspeitas, já que esses pedidos parecem típicos e inócuos.

Funcionando como um downloader, a principal tarefa deste script era buscar um segundo script Python, servindo como um backdoor com amplos recursos. Uma vez ativado, o script backdoor reuniu e transmitiu clandestinamente informações confidenciais sobre o sistema infectado, versão, incluindo OS, listagens de diretório, aplicativos instalados, Tipo de CPU, e endereço IP externo.

A ferramenta’ executável empregado no ataque demonstrou outra faceta da estratégia do malware, modificando o arquivo '/Library/LaunchAgents/launched..plist’ para garantir a persistência entre reinicializações do sistema, solidificando sua posição no dispositivo comprometido.

Durante o exame, Os pesquisadores da Kaspersky observaram que o comando e controle (C2) servidor forneceu consistentemente versões atualizadas do script backdoor, sugerindo desenvolvimento contínuo. Contudo, nenhuma execução de comando foi testemunhada, deixando espaço para especulações sobre potenciais funcionalidades futuras ainda a serem implementadas.

O ladrão de carteira criptografada

O script baixado revelou uma reviravolta sinistra, pois continha funções projetadas para inspecionar o sistema infectado quanto à presença de carteiras Bitcoin Core e Exodus.. Se for detectada, o malware substituiu essas carteiras por cópias backdoor obtidas do 'apple-analyzer[.]com.’ As carteiras comprometidas continham códigos maliciosos projetados para enviar informações confidenciais, incluindo frases-semente, senhas, nomes, e saldos, diretamente para o servidor C2 do invasor. Os usuários que, desavisadamente, obedecem a solicitações inesperadas para inserir novamente os detalhes da carteira correm o risco de ter suas carteiras esvaziadas.

A Kaspersky enfatizou que os aplicativos crackeados usados como vetores nesta campanha servem como portas de entrada convenientes para que agentes mal-intencionados se infiltrem nos usuários.’ computadores. Embora o uso de aplicativos crackeados para entrega de malware não seja novo, esta campanha exemplifica a adaptabilidade dos atores de ameaças na concepção de métodos inovadores, como ocultar a carga dentro de um registro TXT de domínio em um servidor DNS.




Esta revelação não é nada surpreendente, considerando as tendências gerais de malware para macOS e a prevalência de infostealers evitando os mecanismos de defesa do XProtect.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo