Sikkerhedsforskere har slået alarm om en ny cyberangrebskampagne, der bruger crackede kopier af populære softwareprodukter til at distribuere en bagdør til macOS-brugere.
Hvad gør kampagnen anderledes end mange andre, der har brugt en lignende taktik - som en, der blev rapporteret lige tidligere på måneden involverer kinesiske hjemmesider — er dens store skala og dens nye teknik til levering af nyttelast i flere trin. Også bemærkelsesværdig er trusselsaktørens brug af crackede macOS-apps med titler, der sandsynligvis er af interesse for forretningsbrugere, så organisationer, der ikke begrænser, hvad brugere downloader, også kan være i fare.
Kaspersky var den første til opdage og rapportere på Activator macOS-bagdøren i januar 2024. En efterfølgende analyse af den ondsindede aktivitet af SentinelOne har vist, at malware er "kører bredt gennem torrents af macOS-apps", ifølge sikkerhedsleverandøren.
"Vores data er baseret på antallet og hyppigheden af unikke prøver, der er dukket op på tværs af VirusTotal," siger Phil Stokes, en trusselforsker ved SentinelOne. "I januar, siden denne malware først blev opdaget, har vi set flere unikke eksempler på dette end nogen anden macOS-malware, som vi [sporede] over den samme periode."
Antallet af prøver af Activator-bagdøren, som SentinelOne har observeret, er mere end selv mængden af macOS-adware og bundleware-indlæsere (tænk Adload og Pirrit), der understøttes af store affilierede netværk, siger Stokes. "Selvom vi ikke har nogen data til at korrelere det med inficerede enheder, tyder antallet af unikke uploads til VT og de mange forskellige applikationer, der bruges som lokker, på, at infektioner i naturen vil være betydelige."
Opbygning af et macOS Botnet?
En potentiel forklaring på omfanget af aktiviteten er, at trusselsaktøren forsøger at samle et macOS-botnet, men det forbliver kun en hypotese for øjeblikket, siger Stokes.
Trusselsaktøren bag Activator-kampagnen bruger så mange som 70 unikke crackede macOS-applikationer - eller "gratis" apps med fjernet kopibeskyttelse - til at distribuere malwaren. Mange af de crackede apps har virksomhedsfokuserede titler, der kunne være interessante for enkeltpersoner på arbejdspladsen. Et udsnit: Snag It, Nisus Writer Express og Rhino-8, et overflademodelleringsværktøj til teknik, arkitektur, bildesign og andre anvendelsesmuligheder.
"Der er mange værktøjer, der er nyttige til arbejdsformål, som bruges som lokker af macOS.Bkdr.Activator," siger Stokes. "Arbejdsgivere, der ikke begrænser, hvilken software brugere kan downloade, kan risikere at gå på kompromis, hvis en bruger downloader en app, der er inficeret med bagdøren."
Trusselaktører, der søger at distribuere malware via crackede apps, indlejrer typisk den ondsindede kode og bagdøre i selve appen. I tilfældet med Activator har angriberen brugt en noget anden strategi for at levere bagdøren.
Forskellig leveringsmetode
I modsætning til mange macOS malware-trusler inficerer Activator faktisk ikke selve den krakkede software, siger Stokes. I stedet får brugerne en ubrugelig version af den crackede app, de vil downloade, og en "Activator"-app, der indeholder to ondsindede eksekverbare filer. Brugere bliver bedt om at kopiere begge apps til mappen Programmer og køre Activator-appen.
Appen beder derefter brugeren om administratoradgangskoden, som den derefter bruger til at deaktivere macOS' Gatekeeper-indstillinger, så programmer fra uden for Apples officielle app-butik nu kan køre på enheden. Malwaren igangsætter derefter en række ondsindede handlinger, der i sidste ende deaktiverer indstillingen for systemmeddelelser og installerer en Launch Agent på enheden, blandt andet. Selve Activator-bagdøren er et førstetrins installationsprogram og downloader til anden malware.
Flertrinsleveringsprocessen "giver brugeren den knækkede software, men bagdøre offeret under installationsprocessen," siger Stokes. "Det betyder, at selvom brugeren senere besluttede at fjerne den krakkede software, vil den ikke fjerne infektionen."
Sergey Puzan, malware-analytiker hos Kaspersky, peger på et andet aspekt af Activator-kampagnen, som er bemærkelsesværdigt. "Denne kampagne bruger en Python-bagdør, der slet ikke vises på disken og lanceres direkte fra loader-scriptet," siger Puzan. "At bruge Python-scripts uden nogen 'kompilatorer' såsom pyinstaller er lidt mere besværligt, da det kræver, at angribere bærer en Python-fortolker på et eller andet angrebsstadium eller sikrer, at offeret har en kompatibel Python-version installeret."
Puzan mener også, at et potentielt mål for trusselsaktøren bag denne kampagne er at bygge et macOS-botnet. Men siden Kasperskys rapport om Activator-kampagnen har virksomheden ikke observeret nogen yderligere aktivitet, tilføjer han.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique
- :har
- :er
- :ikke
- 2024
- 7
- 70
- a
- Ifølge
- tværs
- aktioner
- aktivitet
- aktører
- faktisk
- Yderligere
- Tilføjer
- admin
- Affiliate
- Agent
- alarm
- Alle
- også
- blandt
- an
- analyse
- analytiker
- ,
- En anden
- enhver
- app
- app Store
- vises
- dukkede
- Apple
- applikationer
- apps
- arkitektur
- ER
- AS
- udseende
- At
- angribe
- Angriberen
- forsøger
- automotive
- bagdør
- Bagdøre
- baseret
- BE
- bag
- være
- mener
- Bit
- både
- botnet
- bygge
- Bygning
- virksomhed
- men
- by
- Kampagne
- CAN
- bære
- tilfælde
- tilfælde
- kinesisk
- kode
- selskab
- kompatibel
- kompromis
- kunne
- revnet
- Cyber angreb
- data
- besluttede
- levere
- levering
- Design
- enhed
- Enheder
- forskellige
- direkte
- opdaget
- distribuere
- do
- gør ikke
- Don
- downloade
- downloads
- i løbet af
- tidligere
- Integrer
- selvstændige
- arbejdsgivere
- Engineering
- sikre
- Endog
- forklaring
- Express
- Fornavn
- Til
- Gratis
- Frekvens
- fra
- Gatekeeper
- få
- mål
- Have
- he
- HTTPS
- if
- in
- enkeltpersoner
- infektioner
- Indleder
- installere
- installation
- installeret
- i stedet
- interesse
- IT
- ITS
- selv
- januar
- jpg
- lige
- Kaspersky
- stor
- senere
- lancere
- lanceret
- Sandsynlig
- loader
- MacOS
- maerker
- ondsindet
- malware
- mange
- midler
- metode
- modellering
- øjeblik
- Måned
- mere
- net
- Ny
- ingen
- bemærkelsesværdigt
- meddelelser
- roman
- nu
- nummer
- talrige
- of
- off
- officiel
- on
- ONE
- or
- organisationer
- Andet
- Andre
- vores
- uden for
- i løbet af
- Adgangskode
- periode
- PHIL
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- Populær
- potentiale
- behandle
- Produkter
- prompter
- giver
- formål
- Python
- Sats
- resterne
- Fjern
- fjernet
- indberette
- rapporteret
- kræver
- forsker
- forskere
- begrænse
- Risiko
- Kør
- s
- samme
- siger
- Scale
- script
- scripts
- sikkerhed
- søger
- set
- Series
- indstilling
- indstillinger
- viste
- signifikant
- lignende
- siden
- hage
- So
- Software
- nogle
- noget
- lød
- Sponsoreret
- Stage
- butik
- Strategi
- efterfølgende
- sådan
- foreslår
- Understøttet
- overflade
- Systemer
- teknik
- end
- at
- derefter
- Der.
- de
- ting
- tror
- denne
- trussel
- trusler
- Gennem
- tid
- titler
- til
- værktøj
- værktøjer
- TUR
- to
- typisk
- Ultimativt
- enestående
- brug
- anvendte
- nyttigt
- Bruger
- brugere
- bruger
- ved brug af
- række
- Ve
- sælger
- udgave
- via
- Victim
- bind
- ønsker
- var
- we
- GODT
- Hvad
- som
- mens
- vilje
- med
- inden for
- uden
- Arbejde
- Arbejdsplads
- forfatter
- zephyrnet
