MacOS 恶意软件瞄准比特币、Exodus 加密钱包

卡巴斯基研究人员表示，针对美国和德国苹果用户的新恶意软件正在通过盗版软件分发的木马感染比特币和 Exodus 加密钱包应用程序。

该恶意软件通过破解的应用程序传播，可以用受感染的版本替换用户计算机上安装的 Exodus 和比特币加密钱包应用程序，这些版本会在钱包解锁后窃取秘密恢复短语。

该报告于本周发布， 注意到 攻击者使用 DNS TXT 记录向受害者发送加密的 Python 脚本，作为感染的第二阶段。

卡巴斯基安全专家谢尔盖·普赞 (Sergey Puzan) 解释说：“钱包应用程序替换过程非常简单，因为在这个阶段，恶意软件已经获得了计算机的 root 访问权限，这是在感染的第一阶段授予的。”

该恶意软件只是从“/Applications/”目录中删除旧应用程序，并将其替换为新的恶意应用程序。安装和修补过程后，应用程序即可运行，用户不会意识到恶意软件在后台运行。

当用户启动这些受损的钱包应用程序时，恶意软件会将包括种子短语或钱包密码在内的数据发送到攻击者控制的命令和控制（C2）服务器。

这可能导致攻击者完全控制受害者的数字钱包。

“我们不知道为什么该恶意软件专门针对‘新’macOS 版本，但看来该活动仍在开发过程中，”普赞说。 “我们设法收到最后阶段后门的功能更新，但没有收到来自服务器的命令。”

他补充说，攻击者没有具体原因关注 macOS 13.6 (Ventura) 及更高版本。

“恶意行为者使用破解版本的应用程序的唯一原因是降低用户的警惕性并提示他们输入管理员密码，从而授予恶意进程的 root 访问权限，”Puzan 解释道。

他说，抵御此类威胁的形式是避免下载任何破解或修改的应用程序，即使是来自众所周知且可信的来源。

“虽然这不是万无一失的方法，但它大大降低了妥协的可能性，”普赞说。 

Bambenek Consulting 总裁 John Bambenek 表示，虽然使用盗版应用程序作为恶意软件的载体并不是什么特别新技术，但选择具有窃取加密货币钱包功能的 macOSX 应用程序是独一无二的。  

“由于防止窃取加密货币的安全性依赖于私人钱包密钥和密码的隐私，窃取这两者意味着攻击者可以立即从受害者身上获利，”他解释道。

加密货币钱包面临的威胁不断演变 

2023 年，出现了许多针对加密货币钱包所有者的恶意活动，但卡巴斯基的调查结果表明，一些攻击者现在竭尽全力确保他们访问受害者加密钱包的内容，同时尽可能长时间不被发现。

Puzan 表示：“虽然预测 2024 年我们将面临的威胁具有挑战性，但加密货币的日益普及正在吸引犯罪活动的加剧。” 

Critical Start 的威胁检测工程师 Adam Neel 指出，恶意行为者正在调整他们的技术来利用加密货币用户的行为和偏好。

“他们使用社会工程策略，例如提供盗版软件，引诱受害者下载恶意软件，”他说。 “该恶意软件能够替换合法的钱包应用程序，并在 C2 服务器无响应时继续运行，这表明它具有一定程度的持久性，这对用户检测和删除来说可能具有挑战性。”

Bambenek 指出，首先需要明确禁用许多操作系统提供的保护才能将这些应用程序安装到系统上，因此最大的防御机制是避免盗版软件和仅来自官方应用程序商店的源应用程序。

他说：“对于那些仍然想要盗版应用程序的用户，他们应该将加密货币应用程序及其私人钱包保存在没有下载和安装此类软件的安全计算机上。” 

尼尔表示，用户必须继续采取预防措施，尤其是在存储大量数字货币时。

“加密货币仍然是网络犯罪分子的一个有吸引力的目标，因此恶意行为者将有动力推进他们的行为和技术，”他说。 

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets