Biztonsági kutatók megkongatták a vészharangot egy új kibertámadási kampányban, amelyben népszerű szoftvertermékek feltört másolatait használják, hogy hátsó ajtót terjesztjenek a macOS-felhasználóknak.
Mi különbözteti meg a kampányt sok más hasonló taktikát alkalmazó kampánytól – mint amilyenről a hónap elején számoltak be kínai weboldalak bevonásával — a puszta léptéke és az újszerű, többlépcsős hasznos teherszállítási technikája. Figyelemre méltó az is, hogy a fenyegetések szereplői feltört macOS-alkalmazásokat használnak olyan címekkel, amelyek valószínűleg érdekelhetik az üzleti felhasználókat, így azok a szervezetek is veszélyben lehetnek, amelyek nem korlátozzák a felhasználók által letöltött tartalmakat.
A Kaspersky volt az első felfedezni és jelenteni Az Activator macOS hátsó ajtón 2024 januárjában. A SentinelOne rosszindulatú tevékenységének későbbi elemzése kimutatta, hogy a rosszindulatú program „a macOS-alkalmazások özöne”, a biztonsági eladó szerint.
„Adataink a VirusTotalon megjelent egyedi minták számán és gyakoriságán alapulnak” – mondja Phil Stokes, a SentinelOne fenyegetéskutatója. „Januárban, amióta ezt a kártevőt először felfedezték, több egyedi mintát láttunk ebből, mint bármely más macOS-es kártevőből, amelyet ugyanebben az időszakban [nyomon követtünk].”
A SentinelOne által megfigyelt Activator háttérajtó mintáinak száma meghaladja a nagy leányvállalati hálózatok által támogatott macOS adware és bundleware betöltő mennyiségét (gondoljunk csak az Adloadra és a Pirritre), mondja Stokes. "Bár nincs adatunk a fertőzött eszközökkel való összefüggésre, a VT-re történő egyedi feltöltések aránya és a csaliként használt különféle alkalmazások sokfélesége arra utal, hogy a vadon élő fertőzések jelentősek lesznek."
MacOS Botnet építése?
A tevékenység mértékének egyik lehetséges magyarázata az, hogy a fenyegetés szereplője egy macOS botnetet próbál összeállítani, de ez egyelőre csak egy hipotézis, mondja Stokes.
Az Activator kampány mögött álló fenyegetettség szereplője 70 egyedi feltört macOS-alkalmazást – vagy eltávolított másolásvédelmet tartalmazó „ingyenes” alkalmazást – használ a kártevő terjesztésére. Sok feltört alkalmazás üzleti célú címekkel rendelkezik, amelyek érdekesek lehetnek az egyének számára a munkahelyi környezetben. Mintavétel: Snag It, Nisus Writer Express és Rhino-8, egy felületmodellező eszköz mérnöki, építészeti, autótervezési és egyéb felhasználási esetekben.
„Sok olyan eszköz létezik, amelyek a munkához hasznosak, amelyeket a macOS.Bkdr.Activator csaliként használ” – mondja Stokes. „Azok a munkáltatók, akik nem korlátozzák, hogy a felhasználók milyen szoftvereket tölthetnek le, a kompromittálás veszélyének lehetnek kitéve, ha a felhasználó olyan alkalmazást tölt le, amely a hátsó ajtóval fertőzött.”
A rosszindulatú programokat feltört alkalmazásokon keresztül terjeszteni kívánó fenyegető szereplők általában magában az alkalmazásban ágyazzák be a rosszindulatú kódot és a hátsó ajtókat. Az Activator esetében a támadó némileg más stratégiát alkalmazott a hátsó ajtó biztosítására.
Különböző szállítási mód
A legtöbb macOS rosszindulatú fenyegetéssel ellentétben az Activator valójában nem magát a feltört szoftvert fertőzi meg, mondja Stokes. Ehelyett a felhasználók megkapják a letölteni kívánt feltört alkalmazás egy használhatatlan verzióját, valamint egy „Activator” alkalmazást, amely két rosszindulatú futtatható fájlt tartalmaz. A felhasználók arra utasítják, hogy mindkét alkalmazást másolják az Alkalmazások mappába, és futtassák az Aktivátor alkalmazást.
Az alkalmazás ezután bekéri a felhasználót az adminisztrátori jelszó megadására, amellyel azután letiltja a macOS Gatekeeper beállításait, hogy az Apple hivatalos alkalmazásboltján kívülről származó alkalmazások is futhassanak az eszközön. A rosszindulatú program ezután egy sor rosszindulatú műveletet indít el, amelyek végül kikapcsolják a rendszerértesítések beállítását, és többek között Launch Agentet telepítenek az eszközre. Maga az Activator backdoor egy első lépcsős telepítő és letöltő más rosszindulatú programok számára.
A többlépcsős kézbesítési folyamat „ellátja a felhasználót a feltört szoftverrel, de a telepítési folyamat során háttérbe szorítja az áldozatot” – mondja Stokes. "Ez azt jelenti, hogy még ha a felhasználó később úgy döntött is, hogy eltávolítja a feltört szoftvert, az nem távolítja el a fertőzést."
Sergey Puzan, a Kaspersky rosszindulatú programelemzője rámutat az Activator kampány egy másik szempontjára, amely figyelemre méltó. „Ez a kampány Python hátsó ajtót használ, amely egyáltalán nem jelenik meg a lemezen, és közvetlenül a betöltő szkriptből indul el” – mondja Puzan. „A Python-szkriptek „fordítók”, például a pyinstaller nélküli használata egy kicsit bonyolultabb, mivel a támadóktól a támadás bizonyos szakaszaiban Python-tolmácsot kell magukkal vinniük, vagy gondoskodniuk kell arról, hogy az áldozatnak kompatibilis Python-verziója legyen telepítve.”
Puzan azt is hiszi, hogy a kampány mögött álló fenyegetettség egyik lehetséges célja egy macOS botnet felépítése. A Kasperskynek az Activator kampányról szóló jelentése óta azonban a cég nem figyelt meg további tevékenységet – teszi hozzá.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique
- :van
- :is
- :nem
- 2024
- 7
- 70
- a
- Szerint
- át
- cselekvések
- tevékenység
- szereplők
- tulajdonképpen
- További
- Hozzáteszi
- admin
- Partner
- Ügynök
- riasztás
- Minden termék
- Is
- között
- an
- elemzés
- elemző
- és a
- Másik
- bármilyen
- app
- app store
- megjelenik
- megjelent
- Apple
- alkalmazások
- alkalmazások
- építészet
- VANNAK
- AS
- megjelenés
- At
- támadás
- támadó
- megkísérlése
- autóipari
- hátsó ajtó
- Hátsóajtó
- alapján
- BE
- mögött
- hogy
- úgy gondolja,
- Bit
- mindkét
- botnet
- épít
- Épület
- üzleti
- de
- by
- Kampány
- TUD
- visz
- eset
- esetek
- kínai
- kód
- vállalat
- összeegyeztethető
- kompromisszum
- tudott
- repedt
- cyberattack
- dátum
- határozott
- szállít
- kézbesítés
- Design
- eszköz
- Eszközök
- különböző
- közvetlenül
- felfedezett
- terjeszteni
- do
- nem
- Don
- letöltés
- letöltések
- alatt
- Korábban
- Beágyaz
- munkavállaló
- munkáltatók
- Mérnöki
- biztosítására
- Még
- magyarázat
- expressz
- vezetéknév
- A
- Ingyenes
- Frekvencia
- ból ből
- Portás
- kap
- cél
- Legyen
- he
- HTTPS
- if
- in
- egyének
- fertőzések
- beavatottak
- telepíteni
- telepítés
- telepítve
- helyette
- kamat
- IT
- ITS
- maga
- január
- jpg
- éppen
- Kaspersky
- nagy
- a későbbiekben
- indít
- indított
- Valószínű
- rakodó
- MacOS
- KÉSZÍT
- rosszindulatú
- malware
- sok
- eszközök
- módszer
- modellezés
- pillanat
- Hónap
- több
- hálózatok
- Új
- nem
- figyelemre méltó
- értesítések
- regény
- Most
- szám
- számos
- of
- kedvezmény
- hivatalos
- on
- ONE
- or
- szervezetek
- Más
- Egyéb
- mi
- kívül
- felett
- Jelszó
- időszak
- PHIL
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- Népszerű
- potenciális
- folyamat
- Termékek
- utasításokat
- biztosít
- célokra
- Piton
- Arány
- maradványok
- eltávolítása
- eltávolított
- jelentést
- Számolt
- szükség
- kutató
- kutatók
- korlátoz
- Kockázat
- futás
- s
- azonos
- azt mondja,
- Skála
- forgatókönyv
- szkriptek
- biztonság
- keres
- látott
- Series of
- beállítás
- beállítások
- kimutatta,
- jelentős
- hasonló
- óta
- csonk
- So
- szoftver
- néhány
- némileg
- hangzott
- Szponzorált
- Színpad
- tárolni
- Stratégia
- későbbi
- ilyen
- javasolja,
- Támogatott
- felületi
- Systems
- technika
- mint
- hogy
- A
- akkor
- Ott.
- ők
- dolgok
- Szerintem
- ezt
- fenyegetés
- fenyegetések
- Keresztül
- idő
- címei
- nak nek
- szerszám
- szerszámok
- FORDULAT
- kettő
- jellemzően
- Végül
- egyedi
- használ
- használt
- hasznos
- használó
- Felhasználók
- használ
- segítségével
- fajta
- Ve
- eladó
- változat
- keresztül
- Áldozat
- kötet
- akar
- volt
- we
- JÓL
- Mit
- ami
- míg
- lesz
- val vel
- belül
- nélkül
- Munka
- Munkahely
- író
- zephyrnet