macOS-haittaohjelmakampanja esittelee uutta toimitustekniikkaa

Tietoturvatutkijat ovat antaneet hälytyksen uudesta kyberhyökkäyskampanjasta, jossa käytetään suosittujen ohjelmistotuotteiden murtuneita kopioita takaoven jakamiseen macOS-käyttäjille.

Mikä tekee kampanjasta erilaisen kuin monet muut, jotka ovat käyttäneet samanlaista taktiikkaa - kuten kampanja, josta kerrottiin juuri aiemmin tässä kuussa kiinalaisia ​​verkkosivustoja — on sen pelkkä mittakaava ja sen uusi, monivaiheinen hyötykuorman toimitustekniikka. Huomionarvoista on myös se, että uhkatoimijat käyttävät murtuneita macOS-sovelluksia, joiden otsikot kiinnostavat todennäköisesti yrityskäyttäjiä, joten myös organisaatiot, jotka eivät rajoita käyttäjien lataamaa sisältöä, voivat olla vaarassa.

Kaspersky oli ensimmäinen löydä ja raportoi Activator macOS:n takaovella tammikuussa 2024. SentinelOnen myöhempi analyysi haitallisesta toiminnasta on osoittanut haittaohjelman olevan "pyörii runsaasti macOS-sovellusten torrenteissa”, tietoturvatoimittajan mukaan.

"Tietomme perustuvat VirusTotalissa esiintyneiden ainutlaatuisten näytteiden määrään ja tiheyteen", sanoo SentinelOnen uhkatutkija Phil Stokes. "Tammikuussa tämän haittaohjelman havaitsemisen jälkeen olemme nähneet tästä enemmän ainutlaatuisia näytteitä kuin mistään muista macOS-haittaohjelmista, joita [seurantamme] samana ajanjaksona."

SentinelOnen havaitsemien aktivaattorin takaoven näytteiden määrä on enemmän kuin edes suurten sidosverkkojen tukemien macOS-mainos- ja bundleware-lataajien määrä (ajatellen Adload ja Pirrit), Stokes sanoo. "Vaikka meillä ei ole tietoja korreloimaan tätä tartunnan saaneiden laitteiden kanssa, ainutlaatuisten latausten määrä VT:hen ja vieheinä käytettyjen eri sovellusten määrä viittaavat siihen, että luonnossa esiintyvät infektiot ovat merkittäviä."

MacOS-botnetin luominen?

Yksi mahdollinen selitys toiminnan laajuudelle on se, että uhkatoimija yrittää koota macOS-bottiverkon, mutta se on toistaiseksi vain hypoteesi, Stokes sanoo.

Activator-kampanjan takana oleva uhkatekijä käyttää jopa 70 ainutlaatuista krakattua macOS-sovellusta – tai "ilmaista" sovellusta, joista on poistettu kopiosuojaus - haittaohjelmien levittämiseen. Monilla murretuilla sovelluksilla on yrityskeskeisiä nimikkeitä, jotka voivat kiinnostaa ihmisiä työpaikoilla. Näyte: Snag It, Nisus Writer Express ja Rhino-8, pintamallinnustyökalu suunnitteluun, arkkitehtuuriin, autosuunnitteluun ja muihin käyttötapauksiin.

"MacOS.Bkdr.Activator käyttää vieheinä monia työtarkoituksiin hyödyllisiä työkaluja", Stokes sanoo. "Työnantajat, jotka eivät rajoita, mitä ohjelmistoja käyttäjät voivat ladata, voivat joutua vaarantumiseen, jos käyttäjä lataa sovelluksen, joka on saanut takaoven tartunnan."

Uhkatoimijat, jotka pyrkivät levittämään haittaohjelmia murrettujen sovellusten kautta, upottavat yleensä haitallisen koodin ja takaovet itse sovellukseen. Activatorin tapauksessa hyökkääjä on käyttänyt hieman erilaista strategiaa takaoven toimittamiseen.  

Eri toimitustapa

Toisin kuin monet macOS-haittaohjelmauhat, Activator ei itse asiassa saastuta murrettua ohjelmistoa, Stokes sanoo. Sen sijaan käyttäjät saavat käyttökelvottoman version murretusta sovelluksesta, jonka he haluavat ladata, sekä "Activator"-sovelluksen, joka sisältää kaksi haitallista suoritettavaa tiedostoa. Käyttäjiä kehotetaan kopioimaan molemmat sovellukset Sovellukset-kansioon ja suorittamaan Aktivaattori-sovellus.

Tämän jälkeen sovellus pyytää käyttäjää antamaan järjestelmänvalvojan salasanan, jonka avulla se poistaa macOS:n Gatekeeper-asetukset käytöstä, jotta Applen virallisen sovelluskaupan ulkopuolelta tulevat sovellukset voivat nyt toimia laitteessa. Haittaohjelma käynnistää sitten sarjan haitallisia toimia, jotka lopulta sammuttavat järjestelmän ilmoitusasetukset ja asentavat laitteeseen muun muassa Launch Agentin. Itse Activator-takaovi on ensimmäisen vaiheen asennus- ja latausohjelma muille haittaohjelmille.

Monivaiheinen toimitusprosessi "tarjoaa käyttäjälle murretun ohjelmiston, mutta takaa uhrin asennusprosessin aikana", Stokes sanoo. "Tämä tarkoittaa, että vaikka käyttäjä myöhemmin päätti poistaa murtuneen ohjelmiston, se ei poista tartuntaa."

Kasperskyn haittaohjelmien analyytikko Sergey Puzan viittaa toiseen Activator-kampanjan huomionarvoiseen näkökohtaan. "Tämä kampanja käyttää Python-takaovea, joka ei näy levyllä ollenkaan ja käynnistetään suoraan latausskriptistä", Puzan sanoo. Python-komentosarjojen käyttäminen ilman 'kääntäjiä', kuten pyinstalleria, on hieman hankalampaa, koska se vaatii hyökkääjiltä Python-tulkkia jossain hyökkäysvaiheessa tai varmistamaan, että uhrilla on asennettuna yhteensopiva Python-versio.

Puzan uskoo myös, että yksi tämän kampanjan takana olevan uhkatoimijan potentiaalinen tavoite on rakentaa macOS-botnet. Mutta Kasperskyn Activator-kampanjaa koskevan raportin jälkeen yhtiö ei ole havainnut mitään ylimääräistä toimintaa, hän lisää.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique