macOS-i pahavarakampaania tutvustab uudset edastamistehnikat

Turvateadlased on andnud häirekella uuele küberrünnakukampaaniale, mis kasutab MacOS-i kasutajatele tagaukse levitamiseks populaarsete tarkvaratoodete purustatud koopiaid.

Mille poolest erineb kampaania paljudest teistest sarnast taktikat kasutanud kampaaniast – näiteks kampaaniast, millest teatati selle kuu alguses Hiina veebisaite — on selle tohutu ulatus ja uudne mitmeastmeline kasuliku koorma kohaletoimetamise tehnika. Tähelepanuväärne on ka see, et ohus osalejad kasutavad murtud macOS-i rakendusi, mille pealkirjad pakuvad tõenäoliselt ärikasutajatele huvi, nii et ohus võivad olla ka organisatsioonid, kes ei piira kasutajate allalaadimist.

Kaspersky oli esimene avastada ja teatada Activator macOS-i tagauksel 2024. aasta jaanuaris. SentinelOne'i pahatahtliku tegevuse hilisem analüüs näitas, et pahavara on "töötab laialdaselt läbi macOS-i rakenduste torrentide”, vastavalt turvamüüjale.

"Meie andmed põhinevad VirusTotalis ilmunud ainulaadsete proovide arvul ja sagedusel," ütleb SentinelOne'i ohuteadlane Phil Stokes. "Jaanuaris pärast selle pahavara esmakordset avastamist oleme näinud rohkem selle unikaalseid näidiseid kui ühegi teise MacOS-i pahavara kohta, mida [jälgisime] sama aja jooksul."

SentinelOne'i täheldatud aktivaatori tagaukse näidiste arv ületab isegi suurte sidusettevõtete võrkude toetatud macOS-i reklaamvara ja komplektvara laadijate (mõelge Adloadile ja Pirritile) maht, ütleb Stokes. "Kuigi meil puuduvad andmed selle korrelatsiooniks nakatunud seadmetega, viitavad VT-sse kordumatute üleslaadimiste määr ja peibutisena kasutatavate erinevate rakenduste hulk sellele, et looduses esinevad nakkused on märkimisväärsed."

MacOS-i robotivõrgu loomine?

Üks võimalik selgitus tegevuse ulatusele on see, et ohus osaleja üritab kokku panna macOS-i robotvõrku, kuid see jääb hetkel vaid hüpoteesiks, ütleb Stokes.

Aktivaatori kampaania taga olev ohutegelane kasutab pahavara levitamiseks kuni 70 unikaalset krakitud macOS-i rakendust või eemaldatud kopeerimiskaitsega "tasuta" rakendust. Paljudel murtud rakendustel on ettevõttele suunatud pealkirjad, mis võivad töökoha seadetes inimestele huvi pakkuda. Näidis: Snag It, Nisus Writer Express ja Rhino-8, pinna modelleerimise tööriist inseneri-, arhitektuuri-, autodisaini ja muude kasutusjuhtude jaoks.

"Seal on palju tööks kasulikke tööriistu, mida macOS.Bkdr.Activator kasutab peibutisena," ütleb Stokes. "Tööandjad, kes ei piira, millist tarkvara kasutajad saavad alla laadida, võivad sattuda ohtu, kui kasutaja laadib alla rakenduse, mis on nakatunud tagauksega."

Murtud rakenduste kaudu pahavara levitada üritavad ohustajad manustavad pahatahtliku koodi ja tagauksed tavaliselt rakendusse endasse. Aktivaatori puhul on ründaja tagaukse edastamiseks kasutanud mõnevõrra teistsugust strateegiat.  

Erinev kohaletoimetamise viis

Erinevalt paljudest macOS-i pahavara ohtudest ei nakata Activator tegelikult murtud tarkvara ise, ütleb Stokes. Selle asemel saavad kasutajad krakitud rakenduse kasutuskõlbmatu versiooni, mida nad soovivad alla laadida, ja rakendust "Activator", mis sisaldab kahte pahatahtlikku käivitatavat faili. Kasutajatel palutakse kopeerida mõlemad rakendused rakenduste kausta ja käivitada rakendus Activator.

Seejärel küsib rakendus kasutajalt administraatori parooli, mida ta seejärel kasutab macOS-i Gatekeeperi sätete keelamiseks, et rakendused väljaspool Apple'i ametlikku rakenduste poodi saaksid nüüd seadmes töötada. Seejärel käivitab pahavara rea ​​pahatahtlikke toiminguid, mis lõpuks lülitavad välja süsteemi teavitusseaded ja installivad muu hulgas seadmesse käivitusagendi. Activator tagauks ise on esimese etapi installija ja allalaadija muu pahavara jaoks.

Mitmeastmeline tarneprotsess "varustab kasutajale mõranenud tarkvara, kuid jätab ohvri installiprotsessi ajal tagaukse," ütleb Stokes. "See tähendab, et isegi kui kasutaja otsustas hiljem murtud tarkvara eemaldada, ei eemalda see nakkust."

Kaspersky pahavara analüütik Sergey Puzan osutab veel ühele Activatori kampaania aspektile, mis väärib tähelepanu. "See kampaania kasutab Pythoni tagaust, mis ei ilmu üldse kettale ja käivitatakse otse laadimisskriptist, " ütleb Puzan. Pythoni skriptide kasutamine ilma kompilaatoriteta (nt pyinstaller) on pisut keerulisem, kuna see nõuab, et ründajad kannaksid mõnes ründefaasis Pythoni tõlgi või tagaksid, et ohvrile oleks installitud ühilduv Pythoni versioon.

Puzan usub ka, et selle kampaania taga oleva ohus osaleja üks potentsiaalne eesmärk on luua macOS-i robotvõrk. Kuid alates Kaspersky raportist Activatori kampaania kohta pole ettevõte mingit lisategevust täheldanud, lisab ta.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique