MacOS-haittaohjelmat kohdistuvat Bitcoiniin, Exodus-salauslompakoihin

Kasperskyn tutkijoiden mukaan uudet haittaohjelmat, jotka kohdistuvat Applen käyttäjiin Yhdysvalloissa ja Saksassa, tartuttavat Bitcoin- ja Exodus-salauslompakkosovelluksia troijalaisella, joka on levitetty piraattiohjelmistojen kautta.

Haittaohjelma toimitetaan krakattujen sovellusten kautta, ja se voi korvata käyttäjän koneelle asennetut Exodus- ja Bitcoin-salauslompakkosovellukset tartunnan saaneilla versioilla, jotka varastavat salaisia ​​palautuslauseita lompakon lukituksen avaamisen jälkeen.

Tällä viikolla julkaistu raportti huomattava hyökkääjät käyttävät DNS TXT -tietueita toimittaakseen salatun Python-komentosarjan uhrilleen tartunnan toisena vaiheena.

"Lompakon sovelluksen vaihtoprosessi on suoraviivainen, koska tässä vaiheessa haittaohjelmalla on jo pääkäyttäjän oikeudet tietokoneeseen, joka myönnetään tartunnan ensimmäisen vaiheen aikana", selittää Kasperskyn tietoturvaasiantuntija Sergey Puzan.

Haittaohjelma yksinkertaisesti poistaa vanhan sovelluksen "/Applications/"-hakemistosta ja korvaa sen uudella, haitallisella sovelluksella. Asennuksen ja korjausprosessin jälkeen sovellukset alkavat toimia, eikä käyttäjä ole tietoinen taustalla käynnissä olevista haittaohjelmista.

Kun käyttäjät käynnistävät nämä vaarantuneet lompakkosovellukset, haittaohjelma lähettää tietoja, mukaan lukien siemenlausekkeet tai lompakon salasanat, hyökkääjien hallitsemalle komento- ja ohjauspalvelimelle (C2).

Tämä voi johtaa siihen, että hyökkääjät voivat hallita täysin uhrin digitaalista lompakkoa.

"Emme tiedä, miksi haittaohjelma kohdistuu erityisesti "tuoreisiin" macOS-versioihin, mutta näyttää siltä, ​​että tämä kampanja oli vielä kehitysprosessissa", Puzan sanoo. "Onnistuimme saamaan toiminnallisuuspäivitykset viimeisen vaiheen takaovelle, mutta emme saaneet komentoja palvelimelta."

Hän lisäsi, että ei ole erityisiä syitä, miksi hyökkääjät keskittyvät macOS 13.6:een (Ventura) tai uudempiin.

"Ainoa syy, miksi pahantahtoiset toimijat käyttävät sovellusten murtuneita versioita, on heikentää käyttäjän vartiointia ja pyytää heitä syöttämään järjestelmänvalvojan salasana, mikä antaa pääkäyttäjän oikeudet haitalliselle prosessille", Puzan selittää.

Hän sanoo, että lomakesuojaus tällaisia ​​uhkia vastaan ​​on välttää murtuneiden tai muokattujen sovellusten lataamista, jopa tunnetuista ja luotettavista lähteistä.

"Vaikka tämä ei ole idioottivarma menetelmä, se vähentää merkittävästi kompromissin mahdollisuuksia", Puzan sanoo. 

John Bambenek, Bambenek Consultingin toimitusjohtaja, sanoo, että vaikka piraattisovellusten käyttö haittaohjelmien torjuntakeinona ei ole erityisen uusi tekniikka, kryptovaluuttalompakoiden varastamiseen tarkoitettujen macOSX-sovellusten valikoima on ainutlaatuinen.  

"Koska kryptovaluutan varastamisen estäminen perustuu yksityisen lompakkoavaimen ja salalauseen yksityisyyteen, molempien varastaminen tarkoittaa, että hyökkääjä voi ansaita välittömästi rahaa uhrille", hän selittää.

Kryptovaluuttalompakoiden kehittyvät uhat 

Vuonna 2023 oli lukuisia haitallisia kampanjoita kryptovaluuttalompakoiden omistajille, mutta Kasperskyn havainnot osoittavat, että jotkut hyökkääjät tekevät nyt enemmän töitä varmistaakseen, että he pääsevät käsiksi uhriensa kryptolompakoiden sisältöön ja pysyisivät havaitsemattomina mahdollisimman pitkään.

"Vaikka on haastavaa ennustaa uhkia, joita kohtaamme vuonna 2024, kryptovaluuttojen kasvava suosio houkuttelee lisääntynyttä rikollista toimintaa", Puzan sanoo. 

Adam Neel, Critical Startin uhkien havaitsemisinsinööri, huomauttaa, että pahantahtoiset toimijat mukauttavat tekniikoitaan hyödyntääkseen kryptovaluuttojen käyttäjien käyttäytymistä ja mieltymyksiä.

"He käyttävät sosiaalisen manipuloinnin taktiikkaa, kuten piraattiohjelmistojen tarjoamista houkutellakseen uhreja lataamaan haittaohjelmia", hän sanoo. "Haittaohjelman kyky korvata lailliset lompakkosovellukset ja jatkaa toimintaansa, vaikka C2-palvelin ei vastaa, osoittaa pysyvyyttä, jonka havaitseminen ja poistaminen voi olla käyttäjien haastavaa."

Bambenek huomauttaa, että monet käyttöjärjestelmän tarjoamista suojauksista piti poistaa käytöstä, jotta nämä sovellukset saataisiin järjestelmään alun perin, joten suurin puolustusmekanismi on välttää piraattiohjelmistoja ja lähdesovelluksia vain virallisesta sovelluskaupasta.

"Niiden käyttäjien, jotka haluavat edelleen piraattisovelluksia, heidän tulisi säilyttää kryptovaluuttasovellukset ja yksityiset lompakkot turvallisissa koneissa, joihin ei ole ladattu ja asennettu tällaisia ​​ohjelmistoja", hän sanoo. 

Neel sanoo, että käyttäjien on jatkettava varotoimia, etenkin kun tallennetaan suuria määriä digitaalista valuuttaa.

"Kryptovaluutta on edelleen houkutteleva kohde kyberrikollisille, joten pahantahtoiset toimijat motivoituvat kehittämään käyttäytymistään ja teknologiaansa", hän sanoo. 

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets