Il malware per MacOS prende di mira Bitcoin e i portafogli crittografici Exodus

Secondo i ricercatori di Kaspersky, un nuovo malware che prende di mira gli utenti Apple negli Stati Uniti e in Germania sta infettando le applicazioni di criptovaluta Bitcoin ed Exodus con un trojan distribuito tramite software piratato.

Il malware viene distribuito tramite applicazioni crackate e può sostituire le applicazioni di criptoportafoglio Exodus e Bitcoin installate sul computer dell'utente con versioni infette che rubano frasi segrete di recupero dopo lo sblocco del portafoglio.

Il rapporto, pubblicato questa settimana, noto gli aggressori utilizzano i record DNS TXT per fornire uno script Python crittografato alle loro vittime come seconda fase dell'infezione.

"Il processo di sostituzione dell'applicazione portafoglio è semplice perché, in questa fase, il malware ha già accesso root al computer, concesso durante la prima fase dell'infezione", spiega Sergey Puzan, esperto di sicurezza di Kaspersky.

Il malware rimuove semplicemente la vecchia applicazione dalla directory “/Applicazioni/” e la sostituisce con una nuova dannosa. Dopo l'installazione e il processo di patch, le applicazioni diventano operative e l'utente non è a conoscenza del malware in esecuzione in background.

Quando gli utenti avviano queste applicazioni di portafoglio compromesse, il malware invia dati, comprese frasi seed o password del portafoglio, a un server di comando e controllo (C2) controllato dagli aggressori.

Ciò può far sì che gli aggressori abbiano il pieno controllo del portafoglio digitale della vittima.

"Non sappiamo perché il malware prenda di mira specificamente le versioni 'fresche' di macOS, ma sembra che questa campagna fosse ancora in fase di sviluppo", afferma Puzan. "Siamo riusciti a ricevere aggiornamenti di funzionalità per la backdoor della fase finale, ma non abbiamo ricevuto comandi dal server."

Ha aggiunto che non ci sono ragioni specifiche per cui gli aggressori si concentrano su macOS 13.6 (Ventura) e versioni successive.

"L'unico motivo per cui gli autori malintenzionati utilizzano versioni crackate delle applicazioni è abbassare la guardia dell'utente e chiedergli di inserire la password dell'amministratore, garantendo così l'accesso root al processo dannoso", spiega Puzan.

Secondo lui, la forma di protezione da tali minacce consiste nell'evitare di scaricare applicazioni crackate o modificate, anche da fonti note e affidabili.

"Sebbene questo non sia un metodo infallibile, riduce significativamente le possibilità di compromesso", afferma Puzan. 

John Bambenek, presidente di Bambenek Consulting, afferma che mentre l'uso di applicazioni piratate come veicolo di malware non è una tecnica particolarmente nuova, la selezione di applicazioni macOSX con funzionalità per rubare portafogli di criptovaluta è unica.  

"Poiché la sicurezza per impedire il furto di criptovaluta si basa sulla privacy della chiave del portafoglio privato e della passphrase, rubare entrambe significa che l'aggressore può monetizzare immediatamente la vittima", spiega.

Minacce in evoluzione per i portafogli di criptovaluta 

Nel 2023, ci sono state numerose campagne dannose contro i proprietari di portafogli di criptovaluta, ma i risultati di Kaspersky indicano che alcuni aggressori ora stanno facendo di tutto per assicurarsi di accedere ai contenuti dei portafogli di criptovaluta delle loro vittime rimanendo inosservati il ​​più a lungo possibile.

"Sebbene sia difficile prevedere le minacce che dovremo affrontare nel 2024, la crescente popolarità delle criptovalute sta attirando un'intensificazione dell'attività criminale", afferma Puzan. 

Adam Neel, ingegnere di rilevamento delle minacce presso Critical Start, osserva che gli autori malintenzionati stanno adattando le loro tecniche per trarre vantaggio dai comportamenti e dalle preferenze degli utenti di criptovaluta.

"Utilizzano tattiche di ingegneria sociale, come l'offerta di software piratato, per indurre le vittime a scaricare malware", afferma. "La capacità del malware di sostituire le applicazioni di portafoglio legittime e di continuare a funzionare anche quando il server C2 non risponde dimostra un livello di persistenza che può essere difficile da rilevare e rimuovere per gli utenti."

Bambenek nota che molte delle protezioni fornite dal sistema operativo dovevano essere disabilitate esplicitamente per poter inserire queste applicazioni nel sistema in primo luogo, quindi il meccanismo di difesa più grande è evitare software piratato e applicazioni di origine solo dall'app store ufficiale.

"Gli utenti che desiderano ancora applicazioni piratate dovrebbero tenere le applicazioni di criptovaluta e i loro portafogli privati ​​su macchine sicure su cui non sia stato scaricato e installato tale software", afferma. 

Neel afferma che gli utenti devono continuare a prendere precauzioni, soprattutto quando archiviano grandi quantità di valuta digitale.

"La criptovaluta rimane un obiettivo attraente per i criminali informatici, quindi gli autori malintenzionati saranno motivati ​​a far avanzare i loro comportamenti e la loro tecnologia", afferma. 

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets