MacOS-malware richt zich op Bitcoin, Exodus Cryptowallets

Volgens Kaspersky-onderzoekers infecteert nieuwe malware die zich richt op Apple-gebruikers in de VS en Duitsland de cryptowallet-applicaties van Bitcoin en Exodus met een Trojaans paard dat wordt verspreid via illegale software.

De malware wordt geleverd via gekraakte applicaties en kan de Exodus- en Bitcoin-cryptowallet-applicaties die op de computer van de gebruiker zijn geïnstalleerd, vervangen door geïnfecteerde versies die geheime herstelzinnen stelen nadat de portemonnee is ontgrendeld.

Het rapport, dat deze week werd uitgebracht, bekend de aanvallers gebruiken DNS TXT-records om een ​​gecodeerd Python-script aan hun slachtoffers te bezorgen als tweede fase van de infectie.

“Het vervangingsproces voor de portemonnee-applicatie is eenvoudig omdat de malware in dit stadium al root-toegang tot de computer heeft, verleend tijdens de eerste fase van de infectie”, legt Sergey Puzan, beveiligingsexpert bij Kaspersky, uit.

De malware verwijdert eenvoudigweg de oude applicatie uit de map “/Applications/” en vervangt deze door een nieuwe, kwaadaardige applicatie. Na de installatie en het patchproces worden de applicaties operationeel en is de gebruiker zich niet bewust van de malware die op de achtergrond draait.

Wanneer gebruikers deze gecompromitteerde portemonnee-applicaties starten, verzendt de malware gegevens, inclusief zaadzinnen of portemonnee-wachtwoorden, naar een command-and-control (C2)-server die wordt beheerd door de aanvallers.

Dit kan ertoe leiden dat de aanvallers volledige controle krijgen over de digitale portemonnee van een slachtoffer.

"We weten niet waarom de malware zich specifiek richt op 'nieuwe' macOS-versies, maar het lijkt erop dat deze campagne nog in het ontwikkelingsproces zat", zegt Puzan. “We zijn erin geslaagd functionaliteitsupdates te ontvangen voor de backdoor van de laatste fase, maar ontvingen geen opdrachten van de server.”

Hij voegde eraan toe dat er geen specifieke redenen zijn waarom aanvallers zich richten op macOS 13.6 (Ventura) en hoger.

"De enige reden waarom kwaadwillende actoren gekraakte versies van applicaties gebruiken, is om de veiligheid van de gebruiker te verminderen en hem te vragen het beheerderswachtwoord in te voeren, waardoor root-toegang tot het kwaadaardige proces wordt verleend", legt Puzan uit.

Hij zegt dat de vormbescherming tegen dergelijke bedreigingen bedoeld is om te voorkomen dat gekraakte of gewijzigde applicaties worden gedownload, zelfs van bekende en vertrouwde bronnen.

“Hoewel dit geen waterdichte methode is, verkleint het de kans op compromissen aanzienlijk”, zegt Puzan. 

John Bambenek, president van Bambenek Consulting, zegt dat hoewel het gebruik van illegale applicaties als voertuig voor malware geen bijzonder nieuwe techniek is, de selectie van macOSX-applicaties met functionaliteit om cryptocurrency-portefeuilles te stelen uniek is.  

“Aangezien de beveiliging om het stelen van cryptocurrency te voorkomen afhankelijk is van de privacy van de sleutel en het wachtwoord van de privéportemonnee, betekent het stelen van beide dat de aanvaller onmiddellijk geld kan verdienen met het slachtoffer”, legt hij uit.

Evoluerende bedreigingen voor cryptocurrency-portefeuilles 

In 2023 waren er talloze kwaadaardige campagnes gericht op eigenaren van cryptocurrency-portemonnees, maar de bevindingen van Kaspersky geven aan dat sommige aanvallers nu meer moeite doen om ervoor te zorgen dat ze toegang krijgen tot de inhoud van de crypto-wallets van hun slachtoffers, terwijl ze zo lang mogelijk onopgemerkt blijven.

“Hoewel het een uitdaging is om de bedreigingen te voorspellen waarmee we in 2024 te maken zullen krijgen, trekt de toenemende populariteit van cryptocurrencies steeds meer criminele activiteiten aan”, zegt Puzan. 

Adam Neel, bedreigingsdetectie-ingenieur bij Critical Start, merkt op dat kwaadwillende actoren hun technieken aanpassen om te profiteren van het gedrag en de voorkeuren van cryptocurrency-gebruikers.

“Ze gebruiken social engineering-tactieken, zoals het aanbieden van illegale software, om slachtoffers ertoe te verleiden malware te downloaden”, zegt hij. “Het vermogen van de malware om legitieme portemonnee-applicaties te vervangen en te blijven werken, zelfs als de C2-server niet reageert, demonstreert een niveau van persistentie dat voor gebruikers een uitdaging kan zijn om te detecteren en te verwijderen.”

Bambenek merkt op dat veel van de door het besturingssysteem geleverde beveiligingen expliciet moesten worden uitgeschakeld om deze applicaties überhaupt op het systeem te krijgen, dus het grootste verdedigingsmechanisme is het vermijden van illegale software en bronapplicaties die alleen uit de officiële app store komen.

“Voor die gebruikers die nog steeds illegale applicaties willen, moeten ze cryptocurrency-applicaties en hun privé-portemonnees op beveiligde machines bewaren waarop dergelijke software niet is gedownload en geïnstalleerd”, zegt hij. 

Neel zegt dat gebruikers voorzorgsmaatregelen moeten blijven nemen, vooral bij het opslaan van grote hoeveelheden digitale valuta.

“Cryptogeld blijft een aantrekkelijk doelwit voor cybercriminelen, dus kwaadwillende actoren zullen gemotiveerd zijn om hun gedrag en technologie vooruit te helpen”, zegt hij. 

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets