macOS-Malware-Kampagne stellt neuartige Bereitstellungstechnik vor

Sicherheitsforscher haben wegen einer neuen Cyberangriffskampagne Alarm geschlagen, bei der geknackte Kopien beliebter Softwareprodukte zum Einsatz kommen, um eine Hintertür an macOS-Benutzer zu verteilen.

Was unterscheidet die Kampagne von zahlreichen anderen, die eine ähnliche Taktik angewendet haben – wie etwa eine, die erst Anfang dieses Monats berichtete? Einbeziehung chinesischer Websites – ist seine schiere Größe und seine neuartige, mehrstufige Technik zur Nutzlastbereitstellung. Bemerkenswert ist auch die Verwendung geknackter macOS-Apps durch den Bedrohungsakteur mit Titeln, die wahrscheinlich für Geschäftsanwender von Interesse sind, sodass auch Organisationen, die den Download durch Benutzer nicht einschränken, gefährdet sein können.

Kaspersky war der Erste entdecken und berichten auf der Activator-MacOS-Hintertür im Januar 2024. Eine anschließende Analyse der bösartigen Aktivität durch SentinelOne hat gezeigt, dass es sich bei der Malware um „strömt durch Torrents von macOS-Apps“, so der Sicherheitsanbieter.

„Unsere Daten basieren auf der Anzahl und Häufigkeit einzigartiger Proben, die bei VirusTotal aufgetaucht sind“, sagt Phil Stokes, Bedrohungsforscher bei SentinelOne. „Seit der ersten Entdeckung dieser Malware im Januar haben wir mehr einzigartige Beispiele davon gesehen als jede andere macOS-Malware, die wir im gleichen Zeitraum [verfolgt] haben.“

Die Anzahl der Beispiele der Activator-Hintertür, die SentinelOne beobachtet hat, übersteigt sogar die Menge an macOS-Adware und Bundleware-Loadern (denken Sie an Adload und Pirrit), die von großen Affiliate-Netzwerken unterstützt werden, sagt Stokes. „Obwohl wir keine Daten haben, die dies mit infizierten Geräten in Verbindung bringen, deuten die Rate eindeutiger Uploads auf VT und die Vielfalt der verschiedenen Anwendungen, die als Köder verwendet werden, darauf hin, dass In-the-Wild-Infektionen erheblich sein werden.“

Ein macOS-Botnetz aufbauen?

Eine mögliche Erklärung für das Ausmaß der Aktivität ist, dass der Bedrohungsakteur versucht, ein macOS-Botnetz aufzubauen, aber das bleibt vorerst nur eine Hypothese, sagt Stokes.

Der Bedrohungsakteur hinter der Activator-Kampagne verwendet bis zu 70 einzigartige geknackte macOS-Anwendungen – oder „kostenlose“ Apps ohne Kopierschutz –, um die Malware zu verbreiten. Viele der geknackten Apps haben geschäftsorientierte Titel, die für Einzelpersonen am Arbeitsplatz von Interesse sein könnten. Eine Auswahl: Snag It, Nisus Writer Express und Rhino-8, ein Oberflächenmodellierungstool für Ingenieurwesen, Architektur, Automobildesign und andere Anwendungsfälle.

„Es gibt viele für Arbeitszwecke nützliche Tools, die von macOS.Bkdr.Activator als Köder verwendet werden“, sagt Stokes. „Arbeitgeber, die nicht einschränken, welche Software Benutzer herunterladen können, könnten dem Risiko einer Kompromittierung ausgesetzt sein, wenn ein Benutzer eine App herunterlädt, die mit der Hintertür infiziert ist.“

Bedrohungsakteure, die Malware über geknackte Apps verbreiten möchten, betten den Schadcode und die Hintertüren typischerweise in die App selbst ein. Im Fall von Activator hat der Angreifer eine etwas andere Strategie angewendet, um die Hintertür auszuliefern.  

Andere Liefermethode

Im Gegensatz zu vielen macOS-Malware-Bedrohungen infiziert Activator die geknackte Software selbst nicht, sagt Stokes. Stattdessen erhalten Benutzer eine unbrauchbare Version der geknackten App, die sie herunterladen möchten, sowie eine „Aktivator“-App, die zwei schädliche ausführbare Dateien enthält. Benutzer werden angewiesen, beide Apps in den Anwendungsordner zu kopieren und die Activator-App auszuführen.

Anschließend fordert die App den Benutzer zur Eingabe des Administratorkennworts auf, mit dem sie dann die Gatekeeper-Einstellungen von macOS deaktiviert, sodass nun Anwendungen von außerhalb des offiziellen App Stores von Apple auf dem Gerät ausgeführt werden können. Die Malware initiiert dann eine Reihe bösartiger Aktionen, die letztendlich unter anderem die Systembenachrichtigungseinstellung deaktivieren und einen Launch Agent auf dem Gerät installieren. Die Activator-Hintertür selbst ist ein Installations- und Downloadprogramm der ersten Stufe für andere Malware.

Der mehrstufige Bereitstellungsprozess „stellt dem Benutzer die geknackte Software zur Verfügung, führt dem Opfer jedoch während des Installationsprozesses Hintertüren ein“, sagt Stokes. „Das bedeutet, dass selbst wenn der Benutzer sich später dazu entschließt, die geknackte Software zu entfernen, die Infektion dadurch nicht entfernt wird.“

Sergey Puzan, Malware-Analyst bei Kaspersky, weist auf einen weiteren bemerkenswerten Aspekt der Activator-Kampagne hin. „Diese Kampagne verwendet eine Python-Hintertür, die überhaupt nicht auf der Festplatte erscheint und direkt vom Loader-Skript aus gestartet wird“, sagt Puzan. „Die Verwendung von Python-Skripten ohne ‚Compiler‘ wie Pyinstaller ist etwas schwieriger, da Angreifer in einer Angriffsphase einen Python-Interpreter mit sich führen oder sicherstellen müssen, dass das Opfer eine kompatible Python-Version installiert hat.“

Puzan glaubt auch, dass ein potenzielles Ziel des Bedrohungsakteurs hinter dieser Kampagne darin besteht, ein macOS-Botnetz aufzubauen. Doch seit Kasperskys Bericht über die Activator-Kampagne habe das Unternehmen keine weiteren Aktivitäten mehr beobachtet, fügt er hinzu.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique