A macOS rosszindulatú programkampánya új kézbesítési technikát mutat be

Biztonsági kutatók megkongatták a vészharangot egy új kibertámadási kampányban, amelyben népszerű szoftvertermékek feltört másolatait használják, hogy hátsó ajtót terjesztjenek a macOS-felhasználóknak.

Mi különbözteti meg a kampányt sok más hasonló taktikát alkalmazó kampánytól – mint amilyenről a hónap elején számoltak be kínai weboldalak bevonásával — a puszta léptéke és az újszerű, többlépcsős hasznos teherszállítási technikája. Figyelemre méltó az is, hogy a fenyegetések szereplői feltört macOS-alkalmazásokat használnak olyan címekkel, amelyek valószínűleg érdekelhetik az üzleti felhasználókat, így azok a szervezetek is veszélyben lehetnek, amelyek nem korlátozzák a felhasználók által letöltött tartalmakat.

A Kaspersky volt az első felfedezni és jelenteni Az Activator macOS hátsó ajtón 2024 januárjában. A SentinelOne rosszindulatú tevékenységének későbbi elemzése kimutatta, hogy a rosszindulatú program „a macOS-alkalmazások özöne”, a biztonsági eladó szerint.

„Adataink a VirusTotalon megjelent egyedi minták számán és gyakoriságán alapulnak” – mondja Phil Stokes, a SentinelOne fenyegetéskutatója. „Januárban, amióta ezt a kártevőt először felfedezték, több egyedi mintát láttunk ebből, mint bármely más macOS-es kártevőből, amelyet ugyanebben az időszakban [nyomon követtünk].”

A SentinelOne által megfigyelt Activator háttérajtó mintáinak száma meghaladja a nagy leányvállalati hálózatok által támogatott macOS adware és bundleware betöltő mennyiségét (gondoljunk csak az Adloadra és a Pirritre), mondja Stokes. "Bár nincs adatunk a fertőzött eszközökkel való összefüggésre, a VT-re történő egyedi feltöltések aránya és a csaliként használt különféle alkalmazások sokfélesége arra utal, hogy a vadon élő fertőzések jelentősek lesznek."

MacOS Botnet építése?

A tevékenység mértékének egyik lehetséges magyarázata az, hogy a fenyegetés szereplője egy macOS botnetet próbál összeállítani, de ez egyelőre csak egy hipotézis, mondja Stokes.

Az Activator kampány mögött álló fenyegetettség szereplője 70 egyedi feltört macOS-alkalmazást – vagy eltávolított másolásvédelmet tartalmazó „ingyenes” alkalmazást – használ a kártevő terjesztésére. Sok feltört alkalmazás üzleti célú címekkel rendelkezik, amelyek érdekesek lehetnek az egyének számára a munkahelyi környezetben. Mintavétel: Snag It, Nisus Writer Express és Rhino-8, egy felületmodellező eszköz mérnöki, építészeti, autótervezési és egyéb felhasználási esetekben.

„Sok olyan eszköz létezik, amelyek a munkához hasznosak, amelyeket a macOS.Bkdr.Activator csaliként használ” – mondja Stokes. „Azok a munkáltatók, akik nem korlátozzák, hogy a felhasználók milyen szoftvereket tölthetnek le, a kompromittálás veszélyének lehetnek kitéve, ha a felhasználó olyan alkalmazást tölt le, amely a hátsó ajtóval fertőzött.”

A rosszindulatú programokat feltört alkalmazásokon keresztül terjeszteni kívánó fenyegető szereplők általában magában az alkalmazásban ágyazzák be a rosszindulatú kódot és a hátsó ajtókat. Az Activator esetében a támadó némileg más stratégiát alkalmazott a hátsó ajtó biztosítására.  

Különböző szállítási mód

A legtöbb macOS rosszindulatú fenyegetéssel ellentétben az Activator valójában nem magát a feltört szoftvert fertőzi meg, mondja Stokes. Ehelyett a felhasználók megkapják a letölteni kívánt feltört alkalmazás egy használhatatlan verzióját, valamint egy „Activator” alkalmazást, amely két rosszindulatú futtatható fájlt tartalmaz. A felhasználók arra utasítják, hogy mindkét alkalmazást másolják az Alkalmazások mappába, és futtassák az Aktivátor alkalmazást.

Az alkalmazás ezután bekéri a felhasználót az adminisztrátori jelszó megadására, amellyel azután letiltja a macOS Gatekeeper beállításait, hogy az Apple hivatalos alkalmazásboltján kívülről származó alkalmazások is futhassanak az eszközön. A rosszindulatú program ezután egy sor rosszindulatú műveletet indít el, amelyek végül kikapcsolják a rendszerértesítések beállítását, és többek között Launch Agentet telepítenek az eszközre. Maga az Activator backdoor egy első lépcsős telepítő és letöltő más rosszindulatú programok számára.

A többlépcsős kézbesítési folyamat „ellátja a felhasználót a feltört szoftverrel, de a telepítési folyamat során háttérbe szorítja az áldozatot” – mondja Stokes. "Ez azt jelenti, hogy még ha a felhasználó később úgy döntött is, hogy eltávolítja a feltört szoftvert, az nem távolítja el a fertőzést."

Sergey Puzan, a Kaspersky rosszindulatú programelemzője rámutat az Activator kampány egy másik szempontjára, amely figyelemre méltó. „Ez a kampány Python hátsó ajtót használ, amely egyáltalán nem jelenik meg a lemezen, és közvetlenül a betöltő szkriptből indul el” – mondja Puzan. „A Python-szkriptek „fordítók”, például a pyinstaller nélküli használata egy kicsit bonyolultabb, mivel a támadóktól a támadás bizonyos szakaszaiban Python-tolmácsot kell magukkal vinniük, vagy gondoskodniuk kell arról, hogy az áldozatnak kompatibilis Python-verziója legyen telepítve.”

Puzan azt is hiszi, hogy a kampány mögött álló fenyegetettség egyik lehetséges célja egy macOS botnet felépítése. A Kasperskynek az Activator kampányról szóló jelentése óta azonban a cég nem figyelt meg további tevékenységet – teszi hozzá.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique