Η καμπάνια για κακόβουλο λογισμικό macOS παρουσιάζει Τεχνική παράδοσης μυθιστορήματος

Η καμπάνια για κακόβουλο λογισμικό macOS παρουσιάζει Τεχνική παράδοσης μυθιστορήματος

Χρονική σήμανση: 2 Φεβρουαρίου 2024 3:03 μ.μ.
Η καμπάνια για κακόβουλο λογισμικό macOS παρουσιάζει τη νέα τεχνική παράδοσης Intelligence δεδομένων PlatoBlockchain. Κάθετη αναζήτηση. Ολα συμπεριλαμβάνονται.

Οι ερευνητές ασφαλείας κρούουν τον κώδωνα του κινδύνου για μια νέα εκστρατεία κυβερνοεπιθέσεων χρησιμοποιώντας σπασμένα αντίγραφα δημοφιλών προϊόντων λογισμικού για τη διανομή μιας κερκόπορτας στους χρήστες macOS.

Τι κάνει την καμπάνια διαφορετική από πολλές άλλες που έχουν χρησιμοποιήσει παρόμοια τακτική — όπως αυτή που αναφέρθηκε μόλις νωρίτερα αυτόν τον μήνα που αφορούν κινεζικούς ιστότοπους — είναι η μεγάλη του κλίμακα και η νέα τεχνική παράδοσης ωφέλιμου φορτίου πολλαπλών σταδίων. Αξιοσημείωτη είναι επίσης η χρήση σπασμένων εφαρμογών macOS από τον παράγοντα απειλών με τίτλους που πιθανότατα ενδιαφέρουν τους επιχειρησιακούς χρήστες, επομένως οι οργανισμοί που δεν περιορίζουν τη λήψη των χρηστών ενδέχεται να κινδυνεύουν επίσης.

Η Kaspersky ήταν η πρώτη που ανακαλύψτε και αναφέρετε στην κερκόπορτα του Activator macOS τον Ιανουάριο του 2024. Μια μεταγενέστερη ανάλυση της κακόβουλης δραστηριότητας από το SentinelOne έδειξε ότι το κακόβουλο λογισμικό είναι "τρέχει γεμάτη μέσα από torrents εφαρμογών macOS», σύμφωνα με τον προμηθευτή ασφαλείας.

«Τα δεδομένα μας βασίζονται στον αριθμό και τη συχνότητα των μοναδικών δειγμάτων που έχουν εμφανιστεί στο VirusTotal», λέει ο Phil Stokes, ερευνητής απειλών στο SentinelOne. «Τον Ιανουάριο από τότε που ανακαλύφθηκε για πρώτη φορά αυτό το κακόβουλο λογισμικό, είδαμε περισσότερα μοναδικά δείγματα αυτού από οποιοδήποτε άλλο κακόβουλο λογισμικό macOS που [παρακολουθήσαμε] την ίδια χρονική περίοδο».

Ο αριθμός των δειγμάτων της κερκόπορτας του Activator που έχει παρατηρήσει το SentinelOne είναι μεγαλύτερος από τον όγκο των macOS adware και bundleware loaders (σκεφτείτε το Adload και το Pirrit) που υποστηρίζονται από μεγάλα δίκτυα συνεργατών, λέει ο Stokes. «Αν και δεν έχουμε δεδομένα που να συσχετίζουν αυτό με μολυσμένες συσκευές, ο ρυθμός των μοναδικών μεταφορτώσεων στο VT και η ποικιλία των διαφορετικών εφαρμογών που χρησιμοποιούνται ως δέλεαρ υποδηλώνουν ότι οι μολύνσεις στο φυσικό περιβάλλον θα είναι σημαντικές».

Δημιουργία macOS Botnet;

Μια πιθανή εξήγηση για την κλίμακα της δραστηριότητας είναι ότι ο παράγοντας απειλής προσπαθεί να συναρμολογήσει ένα botnet macOS, αλλά αυτό παραμένει απλώς μια υπόθεση προς το παρόν, λέει ο Stokes.

Ο παράγοντας απειλής πίσω από την καμπάνια του Activator χρησιμοποιεί έως και 70 μοναδικές σπασμένες εφαρμογές macOS — ή «δωρεάν» εφαρμογές με καταργημένες προστασίες αντιγραφής — για τη διανομή του κακόβουλου λογισμικού. Πολλές από τις σπασμένες εφαρμογές έχουν τίτλους εστιασμένους στην επιχείρηση που θα μπορούσαν να ενδιαφέρουν άτομα σε ρυθμίσεις στο χώρο εργασίας. Μια δειγματοληψία: Snag It, Nisus Writer Express και Rhino-8, ένα εργαλείο μοντελοποίησης επιφανειών για μηχανική, αρχιτεκτονική, σχεδιασμό αυτοκινήτων και άλλες περιπτώσεις χρήσης.

"Υπάρχουν πολλά εργαλεία χρήσιμα για λόγους εργασίας που χρησιμοποιούνται ως δέλεαρ από το macOS.Bkdr.Activator", λέει ο Stokes. "Οι εργοδότες που δεν περιορίζουν το λογισμικό που μπορούν να κατεβάσουν οι χρήστες ενδέχεται να κινδυνεύουν να παραβιαστούν εάν ένας χρήστης κατεβάσει μια εφαρμογή που έχει μολυνθεί από την κερκόπορτα."

Οι φορείς απειλών που επιδιώκουν να διανείμουν κακόβουλο λογισμικό μέσω σπασμένων εφαρμογών συνήθως ενσωματώνουν τον κακόβουλο κώδικα και τις κερκόπορτες μέσα στην ίδια την εφαρμογή. Στην περίπτωση του Activator, ο εισβολέας έχει χρησιμοποιήσει μια κάπως διαφορετική στρατηγική για να παραδώσει το backdoor.  

Διαφορετική μέθοδος παράδοσης

Σε αντίθεση με πολλές απειλές κακόβουλου λογισμικού macOS, το Activator δεν μολύνει το ίδιο το λογισμικό που έχει σπασθεί, λέει ο Stokes. Αντ 'αυτού, οι χρήστες λαμβάνουν μια μη χρησιμοποιήσιμη έκδοση της σπασμένης εφαρμογής που θέλουν να κατεβάσουν και μια εφαρμογή "Activator" που περιέχει δύο κακόβουλα εκτελέσιμα. Οι χρήστες λαμβάνουν οδηγίες να αντιγράψουν και τις δύο εφαρμογές στο φάκελο Εφαρμογές και να εκτελέσουν την εφαρμογή Activator.

Στη συνέχεια, η εφαρμογή ζητά από τον χρήστη τον κωδικό πρόσβασης διαχειριστή, τον οποίο στη συνέχεια χρησιμοποιεί για να απενεργοποιήσει τις ρυθμίσεις Gatekeeper του macOS, έτσι ώστε οι εφαρμογές εκτός του επίσημου καταστήματος εφαρμογών της Apple να μπορούν πλέον να εκτελούνται στη συσκευή. Στη συνέχεια, το κακόβουλο λογισμικό εκκινεί μια σειρά από κακόβουλες ενέργειες που τελικά απενεργοποιούν τη ρύθμιση ειδοποιήσεων συστημάτων και εγκαθιστούν, μεταξύ άλλων, έναν παράγοντα εκκίνησης στη συσκευή. Το ίδιο το Activator backdoor είναι ένα πρόγραμμα εγκατάστασης και λήψης πρώτου σταδίου για άλλα κακόβουλα προγράμματα.

Η διαδικασία παράδοσης πολλαπλών σταδίων «παρέχει στον χρήστη το σπασμένο λογισμικό, αλλά παρακάμπτει το θύμα κατά τη διαδικασία εγκατάστασης», λέει ο Stokes. "Αυτό σημαίνει ότι ακόμα κι αν ο χρήστης αποφασίσει αργότερα να αφαιρέσει το σπασμένο λογισμικό, δεν θα αφαιρέσει τη μόλυνση."

Ο Sergey Puzan, αναλυτής κακόβουλου λογισμικού στην Kaspersky, επισημαίνει μια άλλη πτυχή της καμπάνιας Activator που είναι αξιοσημείωτη. "Αυτή η καμπάνια χρησιμοποιεί μια κερκόπορτα Python που δεν εμφανίζεται καθόλου στο δίσκο και εκκινείται απευθείας από το σενάριο φόρτωσης", λέει ο Puzan. "Η χρήση σεναρίων Python χωρίς "μεταγλωττιστές" όπως το pyinstaller είναι λίγο πιο δύσκολη καθώς απαιτεί από τους εισβολείς να φέρουν διερμηνέα Python σε κάποιο στάδιο επίθεσης ή να διασφαλίσουν ότι το θύμα έχει εγκαταστήσει μια συμβατή έκδοση Python."

Ο Puzan πιστεύει επίσης ότι ένας πιθανός στόχος του παράγοντα απειλής πίσω από αυτήν την καμπάνια είναι να δημιουργήσει ένα botnet macOS. Αλλά από την αναφορά της Kaspersky για την καμπάνια Activator, η εταιρεία δεν έχει παρατηρήσει καμία πρόσθετη δραστηριότητα, προσθέτει.

Σφραγίδα ώρας:

Περισσότερα από Σκοτεινή ανάγνωση