macOS-malwarecampagne toont nieuwe leveringstechniek

Beveiligingsonderzoekers hebben alarm geslagen over een nieuwe cyberaanvalcampagne waarbij gekraakte kopieën van populaire softwareproducten worden gebruikt om een ​​achterdeur onder macOS-gebruikers te verspreiden.

Wat maakt de campagne anders dan talloze andere die een soortgelijke tactiek hebben toegepast – zoals eerder deze maand werd gerapporteerd waarbij Chinese websites betrokken zijn – is de enorme omvang en de nieuwe techniek voor het afleveren van lading in meerdere fasen. Ook opmerkelijk is het gebruik door de bedreigingsacteur van gekraakte macOS-apps met titels die waarschijnlijk interessant zijn voor zakelijke gebruikers. Organisaties die niet beperken wat gebruikers downloaden, kunnen dus ook gevaar lopen.

Kaspersky was de eerste die dat deed ontdekken en rapporteren op de Activator macOS-achterdeur in januari 2024. Een daaropvolgende analyse van de kwaadaardige activiteit door SentinelOne heeft aangetoond dat de malware “loopt wijdverbreid door torrents van macOS-apps”, aldus de beveiligingsleverancier.

“Onze gegevens zijn gebaseerd op het aantal en de frequentie van unieke monsters die bij VirusTotal zijn verschenen”, zegt Phil Stokes, een bedreigingsonderzoeker bij SentinelOne. “Sinds januari, sinds de eerste ontdekking van deze malware, hebben we hiervan meer unieke voorbeelden gezien dan welke andere macOS-malware dan ook die we in dezelfde periode hebben gevolgd.”

Het aantal voorbeelden van de Activator-backdoor dat SentinelOne heeft waargenomen, is groter dan zelfs het volume aan macOS-adware en bundelware-laders (denk aan Adload en Pirrit) die worden ondersteund door grote aangesloten netwerken, zegt Stokes. “Hoewel we geen gegevens hebben om dit in verband te brengen met geïnfecteerde apparaten, suggereert het aantal unieke uploads naar VT en de verscheidenheid aan verschillende applicaties die als lokmiddel worden gebruikt dat infecties in het wild aanzienlijk zullen zijn.”

Een macOS-botnet bouwen?

Een mogelijke verklaring voor de omvang van de activiteit is dat de bedreigingsactor probeert een macOS-botnet samen te stellen, maar dat blijft voorlopig slechts een hypothese, zegt Stokes.

De dreigingsactor achter de Activator-campagne gebruikt maar liefst zeventig unieke gekraakte macOS-applicaties (of ‘gratis’ apps waarvan de kopieerbeveiliging is verwijderd) om de malware te verspreiden. Veel van de gekraakte apps hebben bedrijfsgerichte titels die interessant kunnen zijn voor individuen op de werkplek. Een greep uit: Snag It, Nisus Writer Express en Rhino-70, een hulpmiddel voor oppervlaktemodellering voor engineering, architectuur, auto-ontwerp en andere gebruiksscenario's.

"Er zijn veel tools die handig zijn voor werkdoeleinden en die door macOS.Bkdr.Activator als lokmiddel worden gebruikt", zegt Stokes. “Werkgevers die geen beperkingen opleggen aan de software die gebruikers kunnen downloaden, lopen het risico te worden gecompromitteerd als een gebruiker een app downloadt die is geïnfecteerd met de achterdeur.”

Bedreigingsactoren die malware proberen te verspreiden via gekraakte apps, sluiten de kwaadaardige code en achterdeurtjes doorgaans in de app zelf in. In het geval van Activator heeft de aanvaller een enigszins andere strategie toegepast om de achterdeur te bereiken.  

Verschillende bezorgmethode

In tegenstelling tot veel macOS-malwarebedreigingen infecteert Activator de gekraakte software zelf niet, zegt Stokes. In plaats daarvan krijgen gebruikers een onbruikbare versie van de gekraakte app die ze willen downloaden, en een ‘Activator’-app met daarin twee kwaadaardige uitvoerbare bestanden. Gebruikers krijgen de instructie om beide apps naar de map Programma's te kopiëren en de Activator-app uit te voeren.

De app vraagt ​​de gebruiker vervolgens om het beheerderswachtwoord, dat vervolgens wordt gebruikt om de Gatekeeper-instellingen van macOS uit te schakelen, zodat applicaties van buiten de officiële app store van Apple nu op het apparaat kunnen worden uitgevoerd. De malware initieert vervolgens een reeks kwaadaardige acties die uiteindelijk onder meer de instelling voor systeemmeldingen uitschakelen en een Launch Agent op het apparaat installeren. De Activator-achterdeur zelf is een eerste fase-installatieprogramma en downloader voor andere malware.

Het uit meerdere fasen bestaande leveringsproces "voorziet de gebruiker van de gekraakte software, maar sluit het slachtoffer tijdens het installatieproces achter de deur", zegt Stokes. “Dit betekent dat zelfs als de gebruiker later besluit de gekraakte software te verwijderen, de infectie niet wordt verwijderd.”

Sergey Puzan, malware-analist bij Kaspersky, wijst op een ander aspect van de Activator-campagne dat opmerkelijk is. "Deze campagne maakt gebruik van een Python-backdoor die helemaal niet op de schijf verschijnt en rechtstreeks vanuit het loader-script wordt gestart", zegt Puzan. “Het gebruik van Python-scripts zonder enige ‘compilers’ zoals pyinstaller is een beetje lastiger, omdat aanvallers in een bepaalde aanvalsfase een Python-interpreter moeten meenemen of ervoor moeten zorgen dat het slachtoffer een compatibele Python-versie heeft geïnstalleerd.”

Puzan is ook van mening dat een mogelijk doel van de dreigingsactor achter deze campagne het bouwen van een macOS-botnet is. Maar sinds Kaspersky's rapport over de Activator-campagne heeft het bedrijf geen extra activiteit waargenomen, voegt hij eraan toe.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique