Вредоносное ПО для MacOS нацелено на биткойны и криптокошельки Exodus

По данным исследователей «Лаборатории Касперского», новое вредоносное ПО, нацеленное на пользователей Apple в США и Германии, заражает приложения криптокошельков Bitcoin и Exodus трояном, распространяемым через пиратское программное обеспечение.

Вредоносное ПО доставляется через взломанные приложения и может заменять приложения-криптовалюты Exodus и Bitcoin, установленные на компьютере пользователя, зараженными версиями, которые крадут секретные фразы восстановления после разблокировки кошелька.

В докладе, опубликованном на этой неделе, отметил, злоумышленники используют записи DNS TXT для доставки зашифрованного сценария Python своим жертвам на втором этапе заражения.

«Процесс замены приложения кошелька прост, поскольку на этом этапе вредоносное ПО уже имеет root-доступ к компьютеру, предоставленный на первом этапе заражения», — объясняет Сергей Пузан, эксперт по безопасности «Лаборатории Касперского».

Вредоносная программа просто удаляет старое приложение из каталога «/Applications/» и заменяет его новым вредоносным. После установки и процесса исправления приложения становятся работоспособными, и пользователь не знает о вредоносном ПО, работающем в фоновом режиме.

Когда пользователи запускают эти скомпрометированные приложения кошелька, вредоносное ПО отправляет данные, включая начальные фразы или пароли кошелька, на сервер управления и контроля (C2), контролируемый злоумышленниками.

Это может привести к тому, что злоумышленники получат полный контроль над цифровым кошельком жертвы.

«Мы не знаем, почему вредоносное ПО специально нацелено на «свежие» версии macOS, но похоже, что эта кампания все еще находилась в процессе разработки», — говорит Пузан. «Нам удалось получить обновления функциональности для бэкдора финальной стадии, но мы не получили никаких команд от сервера».

Он добавил, что нет конкретных причин, по которым злоумышленники сосредоточиваются на macOS 13.6 (Ventura) и выше.

«Единственная причина, по которой злоумышленники используют взломанные версии приложений, заключается в том, чтобы снизить защиту пользователя и предложить ему ввести пароль администратора, тем самым предоставив root-доступ к вредоносному процессу», — объясняет Пузан.

По его словам, форма защиты от таких угроз заключается в том, чтобы избегать загрузки любых взломанных или модифицированных приложений, даже из известных и надежных источников.

«Хотя этот метод не является надежным, он значительно снижает шансы на компромисс», — говорит Пузан. 

Джон Бамбенек, президент Bambenek Consulting, говорит, что хотя использование пиратских приложений в качестве средства распространения вредоносных программ не является чем-то новым, выбор приложений macOSX с функциональностью кражи криптовалютных кошельков уникален.  

«Поскольку безопасность предотвращения кражи криптовалюты зависит от конфиденциальности ключа частного кошелька и парольной фразы, кража обоих означает, что злоумышленник может немедленно монетизировать жертву», — объясняет он.

Развитие угроз криптовалютным кошелькам 

В 2023 году было проведено множество вредоносных кампаний, нацеленных на владельцев криптовалютных кошельков, но результаты «Лаборатории Касперского» показывают, что некоторые злоумышленники теперь идут на все, чтобы обеспечить доступ к содержимому криптокошельков своих жертв, оставаясь при этом незамеченными как можно дольше.

«Хотя сложно предсказать угрозы, с которыми мы столкнемся в 2024 году, растущая популярность криптовалют привлекает повышенную преступную активность», — говорит Пузан. 

Адам Нил, инженер по обнаружению угроз в Critical Start, отмечает, что злоумышленники адаптируют свои методы, чтобы воспользоваться поведением и предпочтениями пользователей криптовалюты.

«Они используют тактику социальной инженерии, например, предлагают пиратское программное обеспечение, чтобы соблазнить жертв загрузить вредоносное ПО», — говорит он. «Способность вредоносного ПО заменять законные приложения кошелька и продолжать работу даже тогда, когда сервер C2 не отвечает, демонстрирует уровень устойчивости, который пользователям может быть сложно обнаружить и удалить».

Бамбенек отмечает, что многие средства защиты, предоставляемые ОС, необходимо явно отключить, чтобы эти приложения были установлены в системе, поэтому самый главный механизм защиты — избегать пиратского программного обеспечения и исходных приложений только из официального магазина приложений.

«Тем пользователям, которым все еще нужны пиратские приложения, следует хранить криптовалютные приложения и свои частные кошельки на защищенных компьютерах, на которых такое программное обеспечение не загружено и не установлено», — говорит он. 

Нил говорит, что пользователи должны продолжать принимать меры предосторожности, особенно при хранении больших объемов цифровой валюты.

«Криптовалюта остается привлекательной мишенью для киберпреступников, поэтому злоумышленники будут мотивированы совершенствовать свое поведение и технологии», — говорит он. 

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets