La campagna malware per macOS mette in mostra una nuova tecnica di distribuzione

I ricercatori di sicurezza hanno lanciato l’allarme su una nuova campagna di attacchi informatici utilizzando copie crackate di prodotti software popolari per distribuire una backdoor agli utenti macOS.

Ciò che rende la campagna diversa da numerose altre che hanno utilizzato una tattica simile, come quella riportata proprio all’inizio di questo mese che coinvolgono siti web cinesi – è la sua vastità e la sua nuova tecnica di distribuzione del carico utile in più fasi. Degno di nota è anche l'uso da parte dell'autore della minaccia di app macOS crackate con titoli che potrebbero interessare gli utenti aziendali, quindi anche le organizzazioni che non limitano ciò che gli utenti scaricano possono essere a rischio.

Kaspersky è stato il primo a farlo scoprire e segnalare sulla backdoor di Activator macOS nel gennaio 2024. Una successiva analisi dell'attività dannosa da parte di SentinelOne ha dimostrato che il malware era "correndo attraverso torrenti di app macOS", secondo il fornitore di sicurezza.

"I nostri dati si basano sul numero e sulla frequenza di campioni unici apparsi su VirusTotal", afferma Phil Stokes, ricercatore di minacce presso SentinelOne. "A gennaio, da quando questo malware è stato scoperto per la prima volta, abbiamo riscontrato più campioni unici di questo malware rispetto a qualsiasi altro malware per macOS che abbiamo [tracciato] nello stesso periodo di tempo."

Il numero di campioni della backdoor Activator osservati da SentinelOne è superiore anche al volume di caricatori di adware e bundleware per macOS (si pensi ad Adload e Pirrit) supportati da grandi reti di affiliazione, afferma Stokes. "Sebbene non disponiamo di dati per correlarlo con i dispositivi infetti, il tasso di caricamenti unici su VT e la varietà di diverse applicazioni utilizzate come esche suggeriscono che le infezioni in natura saranno significative."

Costruire una botnet macOS?

Una potenziale spiegazione per la portata dell’attività è che l’autore della minaccia stia tentando di assemblare una botnet macOS, ma per il momento questa rimane solo un’ipotesi, afferma Stokes.

L’autore della minaccia dietro la campagna Activator utilizza fino a 70 applicazioni macOS crackate – o app “gratuite” con protezioni anticopia rimosse – per distribuire il malware. Molte delle app crackate hanno titoli incentrati sul business che potrebbero interessare le persone sul posto di lavoro. Un esempio: Snag It, Nisus Writer Express e Rhino-8, uno strumento di modellazione di superfici per ingegneria, architettura, design automobilistico e altri casi d'uso.

"Esistono molti strumenti utili per scopi lavorativi che vengono utilizzati come esche da macOS.Bkdr.Activator", afferma Stokes. "I datori di lavoro che non pongono limiti al software che gli utenti possono scaricare potrebbero essere a rischio di compromissione se un utente scarica un'app infettata dalla backdoor."

Gli autori delle minacce che cercano di distribuire malware tramite app crackate in genere incorporano il codice dannoso e le backdoor all'interno dell'app stessa. Nel caso di Activator, l’aggressore ha utilizzato una strategia leggermente diversa per aprire la backdoor.  

Metodo di consegna diverso

A differenza di molte minacce malware per macOS, Activator in realtà non infetta il software crackato, afferma Stokes. Invece, gli utenti ricevono una versione inutilizzabile dell'app crackata che desiderano scaricare e un'app "Attivatore" contenente due eseguibili dannosi. Agli utenti viene richiesto di copiare entrambe le app nella cartella Applicazioni ed eseguire l'app Activator.

L'app richiede quindi all'utente la password dell'amministratore, che poi utilizza per disabilitare le impostazioni Gatekeeper di macOS in modo che le applicazioni esterne all'app store ufficiale di Apple possano ora essere eseguite sul dispositivo. Il malware avvia quindi una serie di azioni dannose che alla fine disattivano l'impostazione delle notifiche di sistema e installano, tra le altre cose, un Launch Agent sul dispositivo. La stessa backdoor Activator è un programma di installazione e download di prima fase per altri malware.

Il processo di distribuzione in più fasi "fornisce all'utente il software crackato, ma esegue il backdoor della vittima durante il processo di installazione", afferma Stokes. "Ciò significa che anche se l'utente decidesse successivamente di rimuovere il software crackato, l'infezione non verrà rimossa."

Sergey Puzan, analista di malware presso Kaspersky, sottolinea un altro aspetto della campagna Activator degno di nota. "Questa campagna utilizza una backdoor Python che non appare affatto sul disco e viene lanciata direttamente dallo script del caricatore", afferma Puzan. "Utilizzare script Python senza 'compilatori' come pyinstaller è un po' più complicato in quanto richiede agli aggressori di portare con sé un interprete Python in qualche fase dell'attacco o di assicurarsi che la vittima abbia installata una versione Python compatibile."

Puzan ritiene inoltre che uno dei potenziali obiettivi degli autori delle minacce dietro questa campagna sia quello di costruire una botnet per macOS. Ma dopo il rapporto di Kaspersky sulla campagna Activator, l'azienda non ha più osservato alcuna attività aggiuntiva, aggiunge.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique