Οι ερευνητές ασφαλείας κρούουν τον κώδωνα του κινδύνου για μια νέα εκστρατεία κυβερνοεπιθέσεων χρησιμοποιώντας σπασμένα αντίγραφα δημοφιλών προϊόντων λογισμικού για τη διανομή μιας κερκόπορτας στους χρήστες macOS.
Τι κάνει την καμπάνια διαφορετική από πολλές άλλες που έχουν χρησιμοποιήσει παρόμοια τακτική — όπως αυτή που αναφέρθηκε μόλις νωρίτερα αυτόν τον μήνα που αφορούν κινεζικούς ιστότοπους — είναι η μεγάλη του κλίμακα και η νέα τεχνική παράδοσης ωφέλιμου φορτίου πολλαπλών σταδίων. Αξιοσημείωτη είναι επίσης η χρήση σπασμένων εφαρμογών macOS από τον παράγοντα απειλών με τίτλους που πιθανότατα ενδιαφέρουν τους επιχειρησιακούς χρήστες, επομένως οι οργανισμοί που δεν περιορίζουν τη λήψη των χρηστών ενδέχεται να κινδυνεύουν επίσης.
Η Kaspersky ήταν η πρώτη που ανακαλύψτε και αναφέρετε στην κερκόπορτα του Activator macOS τον Ιανουάριο του 2024. Μια μεταγενέστερη ανάλυση της κακόβουλης δραστηριότητας από το SentinelOne έδειξε ότι το κακόβουλο λογισμικό είναι "τρέχει γεμάτη μέσα από torrents εφαρμογών macOS», σύμφωνα με τον προμηθευτή ασφαλείας.
«Τα δεδομένα μας βασίζονται στον αριθμό και τη συχνότητα των μοναδικών δειγμάτων που έχουν εμφανιστεί στο VirusTotal», λέει ο Phil Stokes, ερευνητής απειλών στο SentinelOne. «Τον Ιανουάριο από τότε που ανακαλύφθηκε για πρώτη φορά αυτό το κακόβουλο λογισμικό, είδαμε περισσότερα μοναδικά δείγματα αυτού από οποιοδήποτε άλλο κακόβουλο λογισμικό macOS που [παρακολουθήσαμε] την ίδια χρονική περίοδο».
Ο αριθμός των δειγμάτων της κερκόπορτας του Activator που έχει παρατηρήσει το SentinelOne είναι μεγαλύτερος από τον όγκο των macOS adware και bundleware loaders (σκεφτείτε το Adload και το Pirrit) που υποστηρίζονται από μεγάλα δίκτυα συνεργατών, λέει ο Stokes. «Αν και δεν έχουμε δεδομένα που να συσχετίζουν αυτό με μολυσμένες συσκευές, ο ρυθμός των μοναδικών μεταφορτώσεων στο VT και η ποικιλία των διαφορετικών εφαρμογών που χρησιμοποιούνται ως δέλεαρ υποδηλώνουν ότι οι μολύνσεις στο φυσικό περιβάλλον θα είναι σημαντικές».
Δημιουργία macOS Botnet;
Μια πιθανή εξήγηση για την κλίμακα της δραστηριότητας είναι ότι ο παράγοντας απειλής προσπαθεί να συναρμολογήσει ένα botnet macOS, αλλά αυτό παραμένει απλώς μια υπόθεση προς το παρόν, λέει ο Stokes.
Ο παράγοντας απειλής πίσω από την καμπάνια του Activator χρησιμοποιεί έως και 70 μοναδικές σπασμένες εφαρμογές macOS — ή «δωρεάν» εφαρμογές με καταργημένες προστασίες αντιγραφής — για τη διανομή του κακόβουλου λογισμικού. Πολλές από τις σπασμένες εφαρμογές έχουν τίτλους εστιασμένους στην επιχείρηση που θα μπορούσαν να ενδιαφέρουν άτομα σε ρυθμίσεις στο χώρο εργασίας. Μια δειγματοληψία: Snag It, Nisus Writer Express και Rhino-8, ένα εργαλείο μοντελοποίησης επιφανειών για μηχανική, αρχιτεκτονική, σχεδιασμό αυτοκινήτων και άλλες περιπτώσεις χρήσης.
"Υπάρχουν πολλά εργαλεία χρήσιμα για λόγους εργασίας που χρησιμοποιούνται ως δέλεαρ από το macOS.Bkdr.Activator", λέει ο Stokes. "Οι εργοδότες που δεν περιορίζουν το λογισμικό που μπορούν να κατεβάσουν οι χρήστες ενδέχεται να κινδυνεύουν να παραβιαστούν εάν ένας χρήστης κατεβάσει μια εφαρμογή που έχει μολυνθεί από την κερκόπορτα."
Οι φορείς απειλών που επιδιώκουν να διανείμουν κακόβουλο λογισμικό μέσω σπασμένων εφαρμογών συνήθως ενσωματώνουν τον κακόβουλο κώδικα και τις κερκόπορτες μέσα στην ίδια την εφαρμογή. Στην περίπτωση του Activator, ο εισβολέας έχει χρησιμοποιήσει μια κάπως διαφορετική στρατηγική για να παραδώσει το backdoor.
Διαφορετική μέθοδος παράδοσης
Σε αντίθεση με πολλές απειλές κακόβουλου λογισμικού macOS, το Activator δεν μολύνει το ίδιο το λογισμικό που έχει σπασθεί, λέει ο Stokes. Αντ 'αυτού, οι χρήστες λαμβάνουν μια μη χρησιμοποιήσιμη έκδοση της σπασμένης εφαρμογής που θέλουν να κατεβάσουν και μια εφαρμογή "Activator" που περιέχει δύο κακόβουλα εκτελέσιμα. Οι χρήστες λαμβάνουν οδηγίες να αντιγράψουν και τις δύο εφαρμογές στο φάκελο Εφαρμογές και να εκτελέσουν την εφαρμογή Activator.
Στη συνέχεια, η εφαρμογή ζητά από τον χρήστη τον κωδικό πρόσβασης διαχειριστή, τον οποίο στη συνέχεια χρησιμοποιεί για να απενεργοποιήσει τις ρυθμίσεις Gatekeeper του macOS, έτσι ώστε οι εφαρμογές εκτός του επίσημου καταστήματος εφαρμογών της Apple να μπορούν πλέον να εκτελούνται στη συσκευή. Στη συνέχεια, το κακόβουλο λογισμικό εκκινεί μια σειρά από κακόβουλες ενέργειες που τελικά απενεργοποιούν τη ρύθμιση ειδοποιήσεων συστημάτων και εγκαθιστούν, μεταξύ άλλων, έναν παράγοντα εκκίνησης στη συσκευή. Το ίδιο το Activator backdoor είναι ένα πρόγραμμα εγκατάστασης και λήψης πρώτου σταδίου για άλλα κακόβουλα προγράμματα.
Η διαδικασία παράδοσης πολλαπλών σταδίων «παρέχει στον χρήστη το σπασμένο λογισμικό, αλλά παρακάμπτει το θύμα κατά τη διαδικασία εγκατάστασης», λέει ο Stokes. "Αυτό σημαίνει ότι ακόμα κι αν ο χρήστης αποφασίσει αργότερα να αφαιρέσει το σπασμένο λογισμικό, δεν θα αφαιρέσει τη μόλυνση."
Ο Sergey Puzan, αναλυτής κακόβουλου λογισμικού στην Kaspersky, επισημαίνει μια άλλη πτυχή της καμπάνιας Activator που είναι αξιοσημείωτη. "Αυτή η καμπάνια χρησιμοποιεί μια κερκόπορτα Python που δεν εμφανίζεται καθόλου στο δίσκο και εκκινείται απευθείας από το σενάριο φόρτωσης", λέει ο Puzan. "Η χρήση σεναρίων Python χωρίς "μεταγλωττιστές" όπως το pyinstaller είναι λίγο πιο δύσκολη καθώς απαιτεί από τους εισβολείς να φέρουν διερμηνέα Python σε κάποιο στάδιο επίθεσης ή να διασφαλίσουν ότι το θύμα έχει εγκαταστήσει μια συμβατή έκδοση Python."
Ο Puzan πιστεύει επίσης ότι ένας πιθανός στόχος του παράγοντα απειλής πίσω από αυτήν την καμπάνια είναι να δημιουργήσει ένα botnet macOS. Αλλά από την αναφορά της Kaspersky για την καμπάνια Activator, η εταιρεία δεν έχει παρατηρήσει καμία πρόσθετη δραστηριότητα, προσθέτει.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique
- :έχει
- :είναι
- :δεν
- 2024
- 7
- 70
- a
- Σύμφωνα με
- απέναντι
- ενεργειών
- δραστηριότητα
- φορείς
- πραγματικά
- Πρόσθετος
- Προσθέτει
- διαχειριστής
- Υιοθετώ
- Πράκτορας
- τρομάζω
- Όλα
- Επίσης
- μεταξύ των
- an
- ανάλυση
- αναλυτής
- και
- Άλλος
- κάθε
- app
- app κατάστημα
- εμφανίζομαι
- Εμφανίστηκε
- Apple
- εφαρμογές
- εφαρμογές
- αρχιτεκτονική
- ΕΙΝΑΙ
- AS
- άποψη
- At
- επίθεση
- εισβολέα
- προσπάθεια
- αυτοκινήτων
- κερκόπορτα
- Κερκόπορτες
- βασίζονται
- BE
- πίσω
- είναι
- πιστεύει
- Κομμάτι
- και οι δύο
- botnet
- χτίζω
- Κτίριο
- επιχείρηση
- αλλά
- by
- Εκστρατεία
- CAN
- κουβαλάω
- περίπτωση
- περιπτώσεις
- κινέζικο
- κωδικός
- εταίρα
- σύμφωνος
- συμβιβασμός
- θα μπορούσε να
- Ραγισμένο
- Ηλεκτρονική επίθεση
- ημερομηνία
- αποφάσισε
- παραδώσει
- διανομή
- Υπηρεσίες
- συσκευή
- Συσκευές
- διαφορετικές
- κατευθείαν
- ανακάλυψαν
- διανέμω
- do
- doesn
- Don
- κατεβάσετε
- λήψεις
- κατά την διάρκεια
- Νωρίτερα
- embed
- μισθωτών
- εργοδότες
- Μηχανική
- εξασφαλίζω
- Even
- εξήγηση
- ρητή
- Όνομα
- Για
- Δωρεάν
- Συχνότητα
- από
- φύλακα
- παίρνω
- γκολ
- Έχω
- he
- HTTPS
- if
- in
- άτομα
- λοιμώξεις
- Αρχίζει
- εγκαθιστώ
- εγκατάσταση
- εγκατασταθεί
- αντί
- τόκος
- IT
- ΤΟΥ
- εαυτό
- Ιανουάριος
- jpg
- μόλις
- Kaspersky
- large
- αργότερα
- ξεκινήσει
- ξεκίνησε
- Πιθανός
- φορτωτής
- MacOS
- ΚΑΝΕΙ
- κακόβουλο
- malware
- πολοί
- μέσα
- μέθοδος
- μοντελοποίηση
- στιγμή
- Μηνας
- περισσότερο
- δίκτυα
- Νέα
- Όχι.
- αξιοσημείωτος
- κοινοποιήσεις
- μυθιστόρημα
- τώρα
- αριθμός
- πολυάριθμες
- of
- off
- επίσημος ανώτερος υπάλληλος
- on
- ONE
- or
- οργανώσεις
- ΑΛΛΑ
- Άλλα
- δικός μας
- εκτός
- επί
- Κωδικός Πρόσβασης
- περίοδος
- ΦΙΛ
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σημεία
- Δημοφιλής
- δυναμικού
- διαδικασια μας
- Προϊόντα
- προτρέπει
- παρέχει
- σκοποί
- Python
- Τιμή
- λείψανα
- αφαιρέστε
- Καταργήθηκε
- αναφέρουν
- αναφέρθηκαν
- απαιτούν
- ερευνητής
- ερευνητές
- περιορίζω
- Κίνδυνος
- τρέξιμο
- s
- ίδιο
- λέει
- Κλίμακα
- γραφή
- Εφαρμογές
- ασφάλεια
- αναζήτηση
- δει
- Σειρές
- τον καθορισμό
- ρυθμίσεις
- έδειξε
- σημαντικός
- παρόμοιες
- αφού
- απροσδόκητο εμπόδιο
- So
- λογισμικό
- μερικοί
- κάπως
- Ακούγεται
- ΧΟΡΗΓΟΥΜΕΝΟΙ
- Στάδιο
- κατάστημα
- Στρατηγική
- μεταγενέστερος
- τέτοιος
- Προτείνει
- υποστηριζόνται!
- Επιφάνεια
- συστήματα
- τεχνική
- από
- ότι
- Η
- τότε
- Εκεί.
- αυτοί
- πράγματα
- νομίζω
- αυτό
- απειλή
- απειλές
- Μέσω
- ώρα
- τίτλους
- προς την
- εργαλείο
- εργαλεία
- ΣΤΡΟΦΗ
- δύο
- συνήθως
- τελικά
- μοναδικός
- χρήση
- μεταχειρισμένος
- χρήσιμος
- Χρήστες
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- ποικιλία
- Ve
- πάροχος υπηρεσιών
- εκδοχή
- μέσω
- Θύμα
- τόμος
- θέλω
- ήταν
- we
- ΛΟΙΠΌΝ
- Τι
- Ποιό
- ενώ
- θα
- με
- εντός
- χωρίς
- Εργασία
- Στο χώρο εργασίας
- συγγραφέας
- zephyrnet