セキュリティ研究者らは、人気のソフトウェア製品のクラックコピーを使用してバックドアを macOS ユーザーに配布する新たなサイバー攻撃キャンペーンに警鐘を鳴らしています。
このキャンペーンは、今月初めに報告されたものなど、同様の戦術を採用した他の多くのキャンペーンと何が違うのか 中国のウェブサイトが関与している - その規模の大きさと、斬新な多段階ペイロード配信技術です。また、脅威アクターが、ビジネス ユーザーが興味を持つ可能性が高いタイトルを含むクラックされた macOS アプリを使用していることも注目に値します。そのため、ユーザーがダウンロードするものを制限していない組織も同様に危険にさらされる可能性があります。
カスペルスキーが最初に 発見して報告する その後、SentinelOne による悪意のあるアクティビティを分析したところ、マルウェアは「macOS アプリのトレントが蔓延」とセキュリティベンダーは述べています。
「私たちのデータは、VirusTotal 全体で出現した固有のサンプルの数と頻度に基づいています」と SentinelOne の脅威研究者である Phil Stokes 氏は述べています。 「このマルウェアが最初に発見されて以来、1 月に、同じ期間に追跡した他の macOS マルウェアよりも多くのこのユニークなサンプルを確認しました。」
SentinelOne が観察した Activator バックドアのサンプル数は、大規模なアフィリエイト ネットワークでサポートされている macOS アドウェアやバンドルウェア ローダー (Adload や Pirrit を思い浮かべてください) の量よりも多いと Stokes 氏は言います。 「感染したデバイスとそれを関連付けるデータはありませんが、VT への固有のアップロードの割合と、おとりとして使用されているさまざまなアプリケーションの多様性から、野外での感染が深刻になることが示唆されています。」
macOS ボットネットを構築していますか?
この活動の規模について考えられる説明の 1 つは、脅威アクターが macOS ボットネットを構築しようとしているということですが、現時点ではそれは単なる仮説にとどまるとストークス氏は言います。
Activator キャンペーンの背後にいる攻撃者は、マルウェアを配布するために 70 もの独自のクラックされた macOS アプリケーション (コピー保護が解除された「無料」アプリ) を使用しています。クラックされたアプリの多くには、職場環境で個人が興味を持つ可能性のあるビジネスに焦点を当てたタイトルが含まれています。サンプル: Snag It、Nisus Writer Express、およびエンジニアリング、建築、自動車設計、その他のユースケース向けのサーフェス モデリング ツールである Rhino-8。
「macOS.Bkdr.Activator によっておとりとして使用される、仕事に役立つツールがたくさんあります」と Stokes 氏は言います。 「ユーザーがダウンロードできるソフトウェアを制限していない雇用主は、ユーザーがバックドアに感染したアプリをダウンロードした場合にセキュリティ侵害の危険にさらされる可能性があります。」
クラックされたアプリを介してマルウェアを配布しようとする攻撃者は、通常、アプリ自体に悪意のあるコードとバックドアを埋め込みます。 Activator の場合、攻撃者はバックドアを配信するために多少異なる戦略を採用しました。
別の配送方法
多くの macOS マルウェアの脅威とは異なり、Activator はクラックされたソフトウェア自体に実際には感染しません、と Stokes 氏は言います。代わりに、ユーザーはダウンロードしようとしているクラックされたアプリの使用できないバージョンと、2 つの悪意のある実行可能ファイルを含む「アクティベーター」アプリを入手します。ユーザーは、両方のアプリをアプリケーション フォルダーにコピーし、アクティベーター アプリを実行するように指示されます。
次に、アプリはユーザーに管理者パスワードの入力を求め、そのパスワードを使用して macOS の Gatekeeper 設定を無効にし、Apple の公式アプリ ストア以外のアプリケーションをデバイス上で実行できるようにします。その後、マルウェアは一連の悪意のあるアクションを開始し、最終的にはシステムの通知設定をオフにし、デバイスに Launch Agent をインストールします。 Activator バックドア自体は、他のマルウェアの第 1 段階のインストーラーおよびダウンローダーです。
多段階の配信プロセスにより、「クラックされたソフトウェアがユーザーに提供されますが、インストール プロセス中に被害者にバックドアが仕掛けられます」とストークス氏は言います。 「これは、ユーザーが後でクラックされたソフトウェアを削除することに決めたとしても、感染は除去されないことを意味します。」
カスペルスキーのマルウェアアナリストであるセルゲイ・プザン氏は、Activator キャンペーンの注目すべきもう 1 つの側面を指摘します。 「このキャンペーンでは、ディスク上にまったく表示されず、ローダー スクリプトから直接起動される Python バックドアが使用されています」と Puzan 氏は言います。 「pyinstaller などの『コンパイラー』を使用せずに Python スクリプトを使用することは、攻撃者が攻撃段階で Python インタープリターを実行するか、被害者に互換性のある Python バージョンがインストールされていることを確認する必要があるため、少し注意が必要です。」
また、Puzan 氏は、このキャンペーンの背後にある攻撃者の潜在的な目的の 1 つは、macOS ボットネットの構築であると考えています。しかし、カスペルスキーがアクティベータキャンペーンに関する報告を行って以来、同社は追加の活動を観察していないと同氏は付け加えた。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique
- :持っている
- :は
- :not
- 2024
- 7
- 70
- a
- 従った
- 越えて
- 行動
- アクティビティ
- 俳優
- 実際に
- NEW
- 追加
- 管理人
- 提携
- エージェント
- アラーム
- すべて
- また
- 間で
- an
- 分析
- アナリスト
- および
- 別の
- どれか
- アプリ
- アプリストア
- 現れる
- 登場
- Apple
- アプリ
- 建築
- です
- AS
- 側面
- At
- 攻撃
- アタッカー
- 試みる
- 自動車
- 裏口
- バックドア
- ベース
- BE
- 背後に
- さ
- と考えています
- ビット
- 両言語で
- ボットネット
- ビルド
- 建物
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- キャンペーン
- 缶
- キャリー
- 場合
- 例
- 中国語
- コード
- 会社
- 互換性のあります
- 妥協
- 可能性
- ひびの入った
- サイバー攻撃
- データ
- 決定しました
- 配信する
- 配達
- 設計
- デバイス
- Devices
- 異なります
- 直接に
- 発見
- 分配します
- do
- doesnの
- ドン
- ダウンロード
- ダウンロード
- 間に
- 前
- 埋め込みます
- 採用
- 雇用者
- エンジニアリング
- 確保
- さらに
- 説明
- 表現します
- 名
- 無料版
- 周波数
- から
- 門番
- 取得する
- 目標
- 持ってる
- he
- HTTPS
- if
- in
- 個人
- 感染症
- 開始する
- install
- インストール
- インストール
- を取得する必要がある者
- 関心
- IT
- ITS
- 自体
- 1月
- JPG
- ただ
- カスペルスキー
- 大
- 後で
- 起動する
- 打ち上げ
- 可能性が高い
- ローダ
- MacOSの
- 作る
- 悪意のある
- マルウェア
- 多くの
- 手段
- 方法
- モデリング
- 瞬間
- 月
- 他には?
- ネットワーク
- 新作
- いいえ
- 注目に値する
- 通知
- 小説
- 今
- 数
- 多数の
- of
- オフ
- 公式
- on
- ONE
- or
- 組織
- その他
- その他
- 私たちの
- 外側
- が
- パスワード
- 期間
- PHIL
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 人気
- 潜在的な
- プロセス
- 製品
- プロンプト
- は、大阪で
- 目的
- Python
- レート
- 残っている
- 削除します
- 削除済み
- レポート
- 報告
- 必要とする
- 研究者
- 研究者
- 制限する
- リスク
- ラン
- s
- 同じ
- 言う
- 規模
- スクリプト
- スクリプト
- セキュリティ
- を求める
- 見て
- シリーズ
- 設定
- 設定
- 示されました
- 重要
- 同様の
- から
- 思わぬ障害
- So
- ソフトウェア
- 一部
- 幾分
- 聞こえた
- スポンサー
- ステージ
- 店舗
- 戦略
- それに続きます
- そのような
- 提案する
- サポート
- 表面
- システム
- 技術
- より
- それ
- その後
- そこ。
- 彼ら
- 物事
- 考える
- この
- 脅威
- 脅威
- 介して
- 時間
- タイトル
- 〜へ
- ツール
- 豊富なツール群
- 順番
- 2
- 一般的に
- 最終的に
- ユニーク
- つかいます
- 中古
- 便利
- ユーザー
- users
- 使用されます
- 多様
- Ve
- ベンダー
- バージョン
- 、
- 被害者
- ボリューム
- 欲しいです
- ました
- we
- WELL
- この試験は
- which
- while
- 意志
- 以内
- 無し
- 仕事
- 職場
- 作家
- ゼファーネット