MacOS-Malware zielt auf Bitcoin, Exodus Cryptowallets

Laut Kaspersky-Forschern infiziert neue Malware, die es auf Apple-Benutzer in den USA und Deutschland abgesehen hat, Bitcoin- und Exodus-Kryptowallet-Anwendungen mit einem Trojaner, der über Raubkopien verbreitet wird.

Die Malware wird über geknackte Anwendungen verbreitet und kann die auf dem Computer des Benutzers installierten Exodus- und Bitcoin-Kryptowallet-Anwendungen durch infizierte Versionen ersetzen, die geheime Wiederherstellungsphrasen stehlen, nachdem das Wallet entsperrt wurde.

Der Bericht, der diese Woche veröffentlicht wurde, bekannt Als zweite Stufe der Infektion nutzen die Angreifer DNS-TXT-Einträge, um ihren Opfern ein verschlüsseltes Python-Skript zu übermitteln.

„Der Prozess zum Ersetzen der Wallet-Anwendung ist unkompliziert, da die Malware zu diesem Zeitpunkt bereits über Root-Zugriff auf den Computer verfügt, der in der ersten Phase der Infektion gewährt wurde“, erklärt Sergey Puzan, Sicherheitsexperte bei Kaspersky.

Die Malware entfernt einfach die alte Anwendung aus dem Verzeichnis „/Applications/“ und ersetzt sie durch eine neue, schädliche. Nach der Installation und dem Patch-Vorgang sind die Anwendungen betriebsbereit und der Benutzer bemerkt nichts von der im Hintergrund laufenden Malware.

Wenn Benutzer diese kompromittierten Wallet-Anwendungen starten, sendet die Malware Daten, einschließlich Seed-Phrasen oder Wallet-Passwörter, an einen Command-and-Control-Server (C2), der von den Angreifern kontrolliert wird.

Dies kann dazu führen, dass die Angreifer die volle Kontrolle über die digitale Geldbörse eines Opfers haben.

„Wir wissen nicht, warum die Malware speziell auf ‚neue‘ macOS-Versionen abzielt, aber es scheint, dass sich diese Kampagne noch im Entwicklungsprozess befand“, sagt Puzan. „Es ist uns gelungen, Funktionsupdates für die Hintertür der letzten Stufe zu erhalten, aber keine Befehle vom Server erhalten.“

Er fügte hinzu, es gebe keine konkreten Gründe, warum sich Angreifer auf macOS 13.6 (Ventura) und höher konzentrieren.

„Der einzige Grund, warum böswillige Akteure geknackte Versionen von Anwendungen verwenden, besteht darin, die Wachsamkeit des Benutzers zu verringern und ihn zur Eingabe des Administratorkennworts aufzufordern und so Root-Zugriff auf den bösartigen Prozess zu gewähren“, erklärt Puzan.

Seiner Meinung nach besteht der beste Schutz vor solchen Bedrohungen darin, das Herunterladen von geknackten oder modifizierten Anwendungen zu vermeiden, selbst von bekannten und vertrauenswürdigen Quellen.

„Obwohl dies keine narrensichere Methode ist, verringert sie die Wahrscheinlichkeit von Kompromissen erheblich“, sagt Puzan. 

John Bambenek, Präsident von Bambenek Consulting, sagt, dass die Verwendung von Raubkopien als Vehikel für Malware zwar keine besonders neue Technik sei, die Auswahl an macOSX-Anwendungen mit Funktionen zum Diebstahl von Kryptowährungs-Wallets jedoch einzigartig sei.  

„Da die Sicherheit, um den Diebstahl von Kryptowährungen zu verhindern, auf der Vertraulichkeit des privaten Wallet-Schlüssels und der Passphrase beruht, bedeutet der Diebstahl beider, dass der Angreifer das Opfer sofort zu Geld machen kann“, erklärt er.

Sich entwickelnde Bedrohungen für Kryptowährungs-Wallets 

Im Jahr 2023 gab es zahlreiche böswillige Kampagnen gegen Besitzer von Kryptowährungs-Wallets. Die Ergebnisse von Kaspersky deuten jedoch darauf hin, dass einige Angreifer jetzt größere Anstrengungen unternehmen, um sicherzustellen, dass sie auf den Inhalt der Krypto-Wallets ihrer Opfer zugreifen und dabei so lange wie möglich unentdeckt bleiben.

„Während es schwierig ist, die Bedrohungen vorherzusagen, denen wir im Jahr 2024 ausgesetzt sein werden, zieht die zunehmende Beliebtheit von Kryptowährungen verstärkt kriminelle Aktivitäten nach sich“, sagt Puzan. 

Adam Neel, Ingenieur für Bedrohungserkennung bei Critical Start, stellt fest, dass böswillige Akteure ihre Techniken anpassen, um das Verhalten und die Vorlieben von Kryptowährungsbenutzern auszunutzen.

„Sie nutzen Social-Engineering-Taktiken, wie etwa das Anbieten von Raubkopien, um Opfer zum Herunterladen von Malware zu verleiten“, sagt er. „Die Fähigkeit der Malware, legitime Wallet-Anwendungen zu ersetzen und den Betrieb auch dann fortzusetzen, wenn der C2-Server nicht reagiert, zeigt ein Maß an Persistenz, das für Benutzer schwierig zu erkennen und zu entfernen sein kann.“

Bambenek weist darauf hin, dass viele der vom Betriebssystem bereitgestellten Schutzmaßnahmen explizit deaktiviert werden mussten, um diese Anwendungen überhaupt auf das System zu bringen. Daher besteht der größte Abwehrmechanismus darin, Raubkopien von Software und Quellanwendungen nur aus dem offiziellen App Store zu vermeiden.

„Benutzer, die immer noch Raubkopien von Anwendungen wünschen, sollten Kryptowährungsanwendungen und ihre privaten Geldbörsen auf sicheren Computern aufbewahren, auf denen solche Software nicht heruntergeladen und installiert ist“, sagt er. 

Neel sagt, dass Benutzer weiterhin Vorsichtsmaßnahmen treffen müssen, insbesondere wenn sie große Mengen digitaler Währung aufbewahren.

„Kryptowährung bleibt ein attraktives Ziel für Cyberkriminelle, sodass böswillige Akteure motiviert sein werden, ihr Verhalten und ihre Technologie weiterzuentwickeln“, sagt er. 

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets