macOS Malware-kampanje viser frem ny leveringsteknikk

Sikkerhetsforskere har slått alarm på en ny nettangrepskampanje som bruker knekkede kopier av populære programvareprodukter for å distribuere en bakdør til macOS-brukere.

Hva gjør kampanjen forskjellig fra mange andre som har brukt en lignende taktikk - som en som ble rapportert rett tidligere denne måneden involverer kinesiske nettsteder — er dens store skala og dens nye, flertrinns nyttelastleveringsteknikk. Bemerkelsesverdig er også trusselaktørens bruk av crackte macOS-apper med titler som sannsynligvis er av interesse for forretningsbrukere, slik at organisasjoner som ikke begrenser hva brukerne laster ned, kan også være i fare.

Kaspersky var den første som gjorde det oppdage og rapportere på Activator macOS-bakdøren i januar 2024. En påfølgende analyse av den ondsinnede aktiviteten av SentinelOne har vist at skadelig programvare er "løper gjennom torrenter av macOS-apper", ifølge sikkerhetsleverandøren.

"Dataene våre er basert på antall og frekvens av unike prøver som har dukket opp på tvers av VirusTotal," sier Phil Stokes, en trusselforsker ved SentinelOne. "I januar siden denne skadelige programvaren først ble oppdaget, har vi sett flere unike eksempler på dette enn noen annen macOS-malware som vi [sporet] over samme tidsperiode."

Antallet prøver av Activator-bakdøren som SentinelOne har observert er mer enn til og med volumet av macOS-adware- og bundleware-lastere (tenk Adload og Pirrit) som støttes av store tilknyttede nettverk, sier Stokes. "Selv om vi ikke har noen data som kan korrelere det med infiserte enheter, tyder frekvensen av unike opplastinger til VT og mangfoldet av forskjellige applikasjoner som brukes som lokker at infeksjoner i naturen vil være betydelige."

Bygge et macOS Botnet?

En potensiell forklaring på omfanget av aktiviteten er at trusselaktøren prøver å sette sammen et macOS-botnett, men det forblir bare en hypotese for øyeblikket, sier Stokes.

Trusselaktøren bak Activator-kampanjen bruker så mange som 70 unike crackte macOS-applikasjoner – eller «gratis» apper med fjernet kopibeskyttelse – for å distribuere skadelig programvare. Mange av de crackte appene har forretningsfokuserte titler som kan være av interesse for enkeltpersoner på arbeidsplass. Et utvalg: Snag It, Nisus Writer Express og Rhino-8, et overflatemodelleringsverktøy for ingeniørfag, arkitektur, bildesign og andre bruksområder.

"Det er mange nyttige verktøy for arbeidsformål som brukes som lokker av macOS.Bkdr.Activator," sier Stokes. "Arbeidsgivere som ikke begrenser hvilken programvare brukere kan laste ned kan risikere å bli kompromittert hvis en bruker laster ned en app som er infisert med bakdøren."

Trusselaktører som ønsker å distribuere skadelig programvare via crackte apper, legger vanligvis inn den ondsinnede koden og bakdørene i selve appen. Når det gjelder Activator, har angriperen brukt en noe annen strategi for å levere bakdøren.  

Ulik leveringsmetode

I motsetning til mange macOS malware-trusler, infiserer Activator faktisk ikke selve den knekkede programvaren, sier Stokes. I stedet får brukerne en ubrukelig versjon av den knekkede appen de vil laste ned, og en «Activator»-app som inneholder to ondsinnede kjørbare filer. Brukere blir bedt om å kopiere begge appene til Applications-mappen og kjøre Activator-appen.

Appen ber deretter brukeren om administratorpassordet, som den deretter bruker til å deaktivere macOS' Gatekeeper-innstillinger slik at applikasjoner utenfor Apples offisielle appbutikk nå kan kjøre på enheten. Skadevaren initierer deretter en rekke ondsinnede handlinger som til slutt slår av systemvarslingsinnstillingen og installerer en Launch Agent på enheten, blant annet. Activator-bakdøren i seg selv er et første trinns installasjonsprogram og nedlastingsprogram for annen skadelig programvare.

Flertrinnsleveringsprosessen "gir brukeren den knekkede programvaren, men bakdører for offeret under installasjonsprosessen," sier Stokes. "Dette betyr at selv om brukeren senere bestemte seg for å fjerne den knekkede programvaren, vil den ikke fjerne infeksjonen."

Sergey Puzan, malware-analytiker hos Kaspersky, peker på et annet aspekt ved Activator-kampanjen som er bemerkelsesverdig. "Denne kampanjen bruker en Python-bakdør som ikke vises på disk i det hele tatt, og som startes direkte fra loader-skriptet," sier Puzan. "Å bruke Python-skript uten noen 'kompilatorer' som pyinstaller er litt vanskeligere ettersom det krever at angripere bærer en Python-tolk på et angrepsstadium eller sørger for at offeret har en kompatibel Python-versjon installert."

Puzan mener også at et potensielt mål for trusselaktøren bak denne kampanjen er å bygge et macOS-botnett. Men siden Kasperskys rapport om Activator-kampanjen har selskapet ikke observert noen ekstra aktivitet, legger han til.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique