Złośliwe oprogramowanie MacOS atakuje Bitcoin i portfele kryptowalutowe Exodus

Według badaczy z firmy Kaspersky nowe szkodliwe oprogramowanie atakujące użytkowników Apple w USA i Niemczech infekuje aplikacje portfeli kryptowalutowych Bitcoin i Exodus za pomocą trojana dystrybuowanego za pośrednictwem pirackiego oprogramowania.

Szkodnik jest dostarczany za pośrednictwem złamanych aplikacji i może zastąpić aplikacje kryptowalutowe Exodus i Bitcoin zainstalowane na komputerze użytkownika zainfekowanymi wersjami, które kradną tajne frazy odzyskiwania po odblokowaniu portfela.

W opublikowanym w tym tygodniu raporcie zauważyć napastnicy wykorzystują rekordy DNS TXT do dostarczenia swoim ofiarom zaszyfrowanego skryptu w języku Python w ramach drugiego etapu infekcji.

„Proces wymiany aplikacji portfelowej jest prosty, ponieważ na tym etapie szkodliwe oprogramowanie ma już dostęp do komputera root, przyznany podczas pierwszego etapu infekcji” – wyjaśnia Siergiej Puzan, ekspert ds. bezpieczeństwa w firmie Kaspersky.

Szkodnik po prostu usuwa starą aplikację z katalogu „/Applications/” i zastępuje ją nową, złośliwą. Po instalacji i procesie łatania aplikacje zaczynają działać, a użytkownik nie jest świadomy szkodliwego oprogramowania działającego w tle.

Kiedy użytkownicy uruchamiają te zainfekowane aplikacje portfelowe, złośliwe oprogramowanie wysyła dane, w tym frazy początkowe lub hasła portfela, do serwera dowodzenia i kontroli (C2) kontrolowanego przez osoby atakujące.

Może to spowodować, że atakujący uzyskają pełną kontrolę nad cyfrowym portfelem ofiary.

„Nie wiemy, dlaczego złośliwe oprogramowanie atakuje konkretnie „świeże” wersje systemu macOS, ale wygląda na to, że ta kampania była wciąż w fazie rozwoju” – mówi Puzan. „Udało nam się otrzymać aktualizacje funkcjonalności backdoora na ostatnim etapie, ale nie otrzymaliśmy żadnych poleceń z serwera”.

Dodał, że nie ma konkretnych powodów, dla których napastnicy skupiają się na systemie macOS 13.6 (Ventura) i nowszych.

„Jedynym powodem, dla którego złośliwi przestępcy korzystają ze złamanych wersji aplikacji, jest obniżenie poziomu zabezpieczeń użytkownika i nakłonienie go do wprowadzenia hasła administratora, zapewniając w ten sposób dostęp roota do szkodliwego procesu” – wyjaśnia Puzan.

Mówi, że formą ochrony przed takimi zagrożeniami jest unikanie pobierania jakichkolwiek złamanych lub zmodyfikowanych aplikacji, nawet z dobrze znanych i zaufanych źródeł.

„Chociaż nie jest to metoda niezawodna, znacznie zmniejsza ryzyko kompromisu” – mówi Puzan. 

John Bambenek, prezes Bambenek Consulting, mówi, że chociaż wykorzystywanie pirackich aplikacji jako nośnika szkodliwego oprogramowania nie jest szczególnie nową techniką, wybór aplikacji dla systemu macOSX z funkcją kradzieży portfeli kryptowalut jest wyjątkowy.  

„Ponieważ bezpieczeństwo zapobiegające kradzieży kryptowalut opiera się na prywatności klucza i hasła do prywatnego portfela, kradzież obu oznacza, że ​​osoba atakująca może natychmiast zarobić na ofierze” – wyjaśnia.

Ewoluujące zagrożenia dla portfeli kryptowalut 

W 2023 r. przeprowadzono wiele szkodliwych kampanii wymierzonych w właścicieli portfeli kryptowalut, ale ustalenia firmy Kaspersky wskazują, że niektórzy napastnicy dokładają obecnie większych starań, aby zapewnić sobie dostęp do zawartości portfeli kryptowalutowych swoich ofiar, pozostając jednocześnie niewykrytymi tak długo, jak to możliwe.

„Chociaż przewidzenie zagrożeń, przed którymi stanemy w 2024 r., będzie trudne, rosnąca popularność kryptowalut przyciąga wzmożoną działalność przestępczą” – mówi Puzan. 

Adam Neel, inżynier ds. wykrywania zagrożeń w Critical Start, zauważa, że ​​szkodliwi aktorzy dostosowują swoje techniki, aby wykorzystać zachowania i preferencje użytkowników kryptowalut.

„Wykorzystują taktyki inżynierii społecznej, takie jak oferowanie pirackiego oprogramowania, aby zwabić ofiary do pobrania złośliwego oprogramowania” – mówi. „Zdolność złośliwego oprogramowania do zastępowania legalnych aplikacji portfela i kontynuowania działania nawet wtedy, gdy serwer C2 nie odpowiada, pokazuje poziom trwałości, którego wykrycie i usunięcie może być trudne dla użytkowników”.

Bambenek zauważa, że ​​wiele zabezpieczeń zapewnianych przez system operacyjny musiało zostać wyraźnie wyłączonych, aby w ogóle te aplikacje mogły zostać zainstalowane w systemie, zatem największym mechanizmem ochronnym jest unikanie pirackiego oprogramowania i aplikacji źródłowych wyłącznie z oficjalnego sklepu z aplikacjami.

„Ci użytkownicy, którzy nadal chcą pirackich aplikacji, powinni przechowywać aplikacje kryptowalutowe i swoje prywatne portfele na bezpiecznych komputerach, na których nie jest pobierane i instalowane takie oprogramowanie” – mówi. 

Neel twierdzi, że użytkownicy muszą w dalszym ciągu zachowywać środki ostrożności, zwłaszcza podczas przechowywania dużych ilości cyfrowej waluty.

„Kryptowaluta pozostaje atrakcyjnym celem dla cyberprzestępców, więc złośliwi przestępcy będą mieli motywację do ulepszania swoich zachowań i technologii” – mówi. 

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets