Ny skadelig programvare rettet mot Apple-brukere i USA og Tyskland infiserer Bitcoin og Exodus kryptowallet-applikasjoner med en trojaner distribuert gjennom piratkopiert programvare, ifølge Kaspersky-forskere.
Skadevaren leveres via crackte applikasjoner og kan erstatte Exodus- og Bitcoin-cryptowallet-applikasjoner installert på brukerens maskin med infiserte versjoner som stjeler hemmelige gjenopprettingsfraser etter at lommeboken er låst opp.
Rapporten, utgitt denne uken, bemerket angriperne bruker DNS TXT-poster for å levere et kryptert Python-skript til ofrene sine som andre infeksjonsstadium.
"Prosessen for utskifting av lommebokapplikasjoner er enkel fordi, på dette stadiet, har skadelig programvare allerede root-tilgang til datamaskinen, gitt under den første fasen av infeksjonen," forklarer Sergey Puzan, sikkerhetsekspert hos Kaspersky.
Skadevaren fjerner ganske enkelt den gamle applikasjonen fra "/Applications/"-katalogen og erstatter den med en ny, ondsinnet. Etter installasjon og oppdateringsprosessen blir applikasjonene operative, og brukeren er uvitende om skadelig programvare som kjører i bakgrunnen.
Når brukere starter disse kompromitterte lommebokapplikasjonene, sender skadelig programvare data, inkludert startfraser eller lommebokpassord, til en kommando-og-kontroll-server (C2) kontrollert av angriperne.
Dette kan resultere i at angriperne har full kontroll over et offers digitale lommebok.
"Vi vet ikke hvorfor skadelig programvare spesifikt retter seg mot "ferske" macOS-versjoner, men det ser ut til at denne kampanjen fortsatt var i utviklingsprosessen, sier Puzan. "Vi klarte å motta funksjonalitetsoppdateringer for bakdøren på siste trinn, men mottok ingen kommandoer fra serveren."
Han la til at det ikke er noen spesifikke grunner til at angripere fokuserer på macOS 13.6 (Ventura) og høyere.
"Den eneste grunnen til at ondsinnede aktører bruker crackede versjoner av applikasjoner er å senke brukerens vakthold og be dem om å skrive inn administratorpassordet, og dermed gi root-tilgang til den ondsinnede prosessen," forklarer Puzan.
Han sier at formbeskyttelsen mot slike trusler er å unngå å laste ned applikasjoner som er sprukket eller modifisert, selv fra kjente og pålitelige kilder.
"Selv om dette ikke er en idiotsikker metode, reduserer den sjansene for kompromiss betydelig," sier Puzan.
John Bambenek, president i Bambenek Consulting, sier at selv om bruken av piratkopierte applikasjoner som et kjøretøy for skadelig programvare ikke er en spesielt ny teknikk, er utvalget av macOSX-applikasjoner med funksjonalitet for å stjele kryptovaluta-lommebøker unikt.
"Sikkerheten for å forhindre tyveri av kryptovaluta er avhengig av personvernet til den private lommeboknøkkelen og passordfrasen, betyr å stjele begge deler at angriperen umiddelbart kan tjene penger på offeret," forklarer han.
Utviklende trusler mot kryptovaluta-lommebøker
I 2023 var det mange ondsinnede kampanjer rettet mot eiere av kryptovaluta-lommebøker, men Kaspersky-funnene indikerer at noen angripere nå går langt for å sikre at de får tilgang til innholdet i ofrenes kryptolommebøker mens de forblir uoppdaget så lenge som mulig.
"Selv om det er utfordrende å forutsi truslene vi vil møte i 2024, tiltrekker den økende populariteten til kryptovalutaer økt kriminell aktivitet," sier Puzan.
Adam Neel, trusseldeteksjonsingeniør ved Critical Start, bemerker at ondsinnede aktører tilpasser teknikkene sine for å dra nytte av kryptovalutabrukeres atferd og preferanser.
"De bruker sosial ingeniør-taktikk, som å tilby piratkopiert programvare, for å lokke ofre til å laste ned skadelig programvare," sier han. "Den skadelige programvarens evne til å erstatte legitime lommebokapplikasjoner og fortsette å operere selv når C2-serveren ikke reagerer, viser et nivå av utholdenhet som kan være utfordrende for brukere å oppdage og fjerne."
Bambenek bemerker at mange av OS-leverte beskyttelser måtte deaktiveres eksplisitt for å få disse applikasjonene på systemet i utgangspunktet, så den største forsvarsmekanismen er å unngå piratkopiert programvare og kildeapplikasjoner kun fra den offisielle appbutikken.
"For de brukerne som fortsatt vil ha piratkopierte applikasjoner, bør de beholde kryptovalutaapplikasjoner og deres private lommebøker på sikre maskiner som ikke har slik programvare lastet ned og installert på seg," sier han.
Neel sier at brukere må fortsette å ta forholdsregler, spesielt når de lagrer store mengder digital valuta.
"Kryptovaluta er fortsatt et attraktivt mål for cyberkriminelle, så ondsinnede aktører vil bli motivert til å fremme deres atferd og teknologi," sier han.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets
- : har
- :er
- :ikke
- 13
- 2023
- 2024
- 7
- a
- evne
- adgang
- Ifølge
- aktivitet
- aktører
- tilpasse
- la til
- admin
- avansere
- Fordel
- Etter
- allerede
- beløp
- an
- og
- noen
- app
- app store
- vises
- eple
- Søknad
- søknader
- ER
- AS
- At
- tiltrekker
- attraktiv
- unngå
- backdoor
- bakgrunn
- BE
- fordi
- bli
- atferd
- Biggest
- Bitcoin
- både
- men
- by
- Kampanje
- Kampanjer
- CAN
- utfordrende
- sjansene
- kompromiss
- kompromittert
- datamaskin
- konsulent
- innhold
- fortsette
- kontroll
- kontrolleres
- sprukket
- Criminal
- kriminelle
- kritisk
- krypto
- krypto lommebøker
- cryptocurrencies
- cryptocurrency
- Cryptocurrency lommebok
- cryptocurrency lommebøker
- valuta
- cyber
- dato
- Forsvar
- leverer
- levert
- demonstrerer
- oppdage
- Gjenkjenning
- Utvikling
- digitalt
- digital valuta
- digital lommebok
- deaktivert
- distribueres
- dns
- do
- Don
- Nedlasting
- under
- kryptert
- ingeniør
- Ingeniørarbeid
- sikre
- Enter
- spesielt
- Selv
- Exodus
- Expert
- forklarer
- eksplisitt
- Face
- slutt~~POS=TRUNC
- funn
- Først
- Fokus
- Til
- skjema
- fersk
- fra
- fullt
- funksjonalitet
- Tyskland
- få
- skal
- innvilget
- innvilgelse
- større
- Guard
- Ha
- å ha
- he
- økt
- høyere
- HTTPS
- umiddelbart
- in
- Inkludert
- økende
- indikerer
- installasjon
- installerte
- inn
- er n
- Utstedt
- IT
- jpg
- Kaspersky
- Hold
- nøkkel
- Vet
- stor
- lansere
- legitim
- Nivå
- ll
- Lang
- lavere
- maskin
- maskiner
- MacOS
- skadelig
- malware
- fikk til
- mange
- midler
- mekanisme
- metode
- modifisert
- tjene penger
- motivert
- må
- nødvendig
- Ny
- Nei.
- Merknader
- nå
- mange
- of
- tilby
- offisiell
- Gammel
- on
- ONE
- bare
- drift
- operasjonell
- or
- eiere
- spesielt
- Passord
- passord
- patching
- utholdenhet
- setninger
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- popularitet
- mulig
- forutsi
- preferanser
- president
- forebygge
- privatliv
- privat
- prosess
- beskyttelse
- Python
- grunnen til
- grunner
- motta
- mottatt
- poster
- utvinning
- reduserer
- gjenværende
- forblir
- fjerne
- Fjerner
- erstatte
- erstatning
- rapporterer
- forskere
- resultere
- root
- rennende
- s
- sier
- script
- Sekund
- Secret
- sikre
- sikkerhet
- seed
- utvalg
- sender
- server
- bør
- betydelig
- ganske enkelt
- So
- selskap
- Sosialteknikk
- Software
- noen
- kilde
- Kilder
- spesifikk
- spesielt
- Scene
- Begynn
- Still
- oppbevare
- lagring
- rett fram
- slik
- system
- taktikk
- Ta
- Target
- rettet mot
- mål
- teknikk
- teknikker
- Teknologi
- Det
- De
- deres
- Dem
- Der.
- derved
- Disse
- de
- denne
- denne uka
- De
- trussel
- trusler
- Gjennom
- til
- Trojan
- klarert
- unik
- ulåst
- oppdateringer
- us
- bruke
- Bruker
- Brukere
- kjøretøy
- versjoner
- av
- Offer
- ofre
- lommebok
- Lommebøker
- ønsker
- var
- we
- uke
- velkjent
- var
- når
- mens
- HVEM
- hvorfor
- vil
- med
- zephyrnet
