קמפיין תוכנות זדוניות של macOS מציג טכניקת משלוח חדשנית

חוקרי אבטחה השמיעו אזעקה על מסע פרסום חדש למתקפת סייבר באמצעות עותקים מפוצצים של מוצרי תוכנה פופולריים כדי להפיץ דלת אחורית למשתמשי macOS.

מה הופך את הקמפיין לשונה מרבים אחרים שהפעילו טקטיקה דומה - כמו אחת שדווחה רק מוקדם יותר החודש כולל אתרים סיניים - הוא קנה המידה העצום שלו וטכניקת אספקת המטען הרב-שלבית החדשנית שלו. ראוי לציין גם את השימוש של שחקן האיום ביישומי macOS מפוצצים עם כותרות שסביר להניח שמעניינות את המשתמשים העסקיים, כך שארגונים שאינם מגבילים את מה שהמשתמשים מורידים יכולים להיות בסיכון גם כן.

קספרסקי היה הראשון לעשות זאת לגלות ולדווח על הדלת האחורית של Activator macOS בינואר 2024. ניתוח שלאחר מכן של הפעילות הזדונית על ידי SentinelOne הראה שהתוכנה הזדונית היא "רצים בטורנטים של אפליקציות macOS" לפי ספק האבטחה.

"הנתונים שלנו מבוססים על המספר והתדירות של דגימות ייחודיות שהופיעו ברחבי VirusTotal", אומר פיל סטוקס, חוקר איומים ב-SentinelOne. "בינואר מאז התגלתה תוכנה זדונית זו לראשונה, ראינו יותר דוגמאות ייחודיות לכך מכל תוכנות זדוניות אחרות ב-macOS שאחריהן [עקבנו] במשך אותו פרק זמן."

מספר הדוגמאות של הדלת האחורית של Activator ש-SentinelOne צפה בו הוא אפילו יותר מהנפח של מעמיסי תוכנות פרסום ו-bundleware של macOS (חשבו על Adload ו-Pirrit) הנתמכים על ידי רשתות שותפים גדולות, אומר סטוקס. "למרות שאין לנו נתונים לתאם את זה עם מכשירים נגועים, שיעור ההעלאות הייחודיות ל-VT ומגוון היישומים השונים המשמשים כפתויים מצביעים על כך שזיהומים בטבע יהיו משמעותיים."

בניית macOS Botnet?

הסבר פוטנציאלי אחד להיקף הפעילות הוא ששחקן האיום מנסה להרכיב רשת בוטנט של macOS, אבל זו נותרה רק השערה לעת עתה, אומר סטוקס.

שחקן האיום שמאחורי מסע הפרסום של Activator משתמש ב-70 יישומי macOS פיצוחים ייחודיים - או אפליקציות "חינם" עם הגנות העתקה שהוסרו - כדי להפיץ את התוכנה הזדונית. לרבות מהאפליקציות הפצוחות יש כותרות ממוקדות עסק שיכולות לעניין אנשים בהגדרות של מקום העבודה. דגימה: Snag It, Nisus Writer Express ו-Rhino-8, כלי דוגמנות משטח להנדסה, ארכיטקטורה, עיצוב רכב ושאר מקרי שימוש.

"ישנם כלים רבים שימושיים למטרות עבודה המשמשים כפתיונות על ידי macOS.Bkdr.Activator", אומר סטוקס. "מעסיקים שאינם מגבילים את התוכנה שמשתמשים יכולים להוריד עלולים להיות בסיכון לפגיעה אם משתמש מוריד אפליקציה שנדבקה בדלת האחורית."

שחקנים מאיימים המבקשים להפיץ תוכנות זדוניות באמצעות אפליקציות סדוקות בדרך כלל מטמיעים את הקוד הזדוני והדלת האחורית בתוך האפליקציה עצמה. במקרה של Activator, התוקף השתמש באסטרטגיה שונה במקצת כדי לספק את הדלת האחורית.  

שיטת משלוח שונה

בניגוד לאיומי תוכנות זדוניות רבות ב-macOS, Activator לא ממש מדביק את התוכנה הפצועה עצמה, אומר סטוקס. במקום זאת, המשתמשים מקבלים גרסה לא שמישה של האפליקציה הפצועה שהם רוצים להוריד, ואפליקציית "Activator" המכילה שני קובצי הפעלה זדוניים. המשתמשים מתבקשים להעתיק את שתי האפליקציות לתיקיית היישומים, ולהפעיל את אפליקציית Activator.

לאחר מכן, האפליקציה מבקשת מהמשתמש להזין את סיסמת המנהל, שבה היא משתמשת כדי להשבית את הגדרות ה-gatekeeper של macOS, כך שיישומים מחוץ לחנות האפליקציות הרשמית של אפל יוכלו כעת לפעול במכשיר. לאחר מכן, התוכנה הזדונית יוזמת סדרה של פעולות זדוניות שבסופו של דבר מכבות את הגדרת ההתראות של המערכות ומתקינות בין היתר Launch Agent במכשיר. הדלת האחורית של Activator עצמה היא שלב ראשון של מתקין ומוריד עבור תוכנות זדוניות אחרות.

תהליך האספקה ​​הרב-שלבי "מספק למשתמש את התוכנה הפצועה, אבל מכניס את הקורבן לדלת במהלך תהליך ההתקנה", אומר סטוקס. "משמעות הדבר היא שגם אם המשתמש החליט מאוחר יותר להסיר את התוכנה הפצועה, זה לא יסיר את הזיהום."

סרגיי פוזן, מנתח תוכנות זדוניות בקספרסקי, מצביע על היבט נוסף של מסע הפרסום של Activator שראוי לציון. "קמפיין זה משתמש בדלת אחורית של Python שאינה מופיעה בדיסק כלל ומופעלת ישירות מסקריפט הטוען", אומר פוזן. "שימוש בסקריפטים של Python ללא כל 'מהדרים' כגון pyinstaller הוא קצת יותר מסובך מכיוון שהוא דורש מהתוקפים לשאת מתורגמן של Python בשלב כלשהו של התקפה או להבטיח שלקורבן מותקנת גרסת Python תואמת."

פוזן גם מאמין שאחת המטרות הפוטנציאליות של שחקן האיום מאחורי הקמפיין הזה היא לבנות רשת בוטנט של macOS. אבל מאז הדיווח של קספרסקי על קמפיין Activator, החברה לא צפתה בפעילות נוספת, הוא מוסיף.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique