Campania macOS Malware prezintă o tehnică nouă de livrare

Cercetătorii în domeniul securității au tras un semnal de alarmă cu privire la o nouă campanie de atac cibernetic, folosind copii sparte ale produselor software populare pentru a distribui o ușă din spate utilizatorilor macOS.

Ce face campania diferită de multe altele care au folosit o tactică similară - cum ar fi cea raportată chiar la începutul acestei luni care implică site-uri web chineze — este amploarea sa și tehnica sa nouă, în mai multe etape, de livrare a sarcinii utile. De asemenea, de remarcat este utilizarea de către actorul amenințării a aplicațiilor macOS crăpate cu titluri care sunt probabil de interes pentru utilizatorii de afaceri, astfel încât organizațiile care nu restricționează ceea ce descarcă utilizatorii pot fi, de asemenea, în pericol.

Kaspersky a fost primul descoperiți și raportați pe ușa din spate Activator macOS în ianuarie 2024. O analiză ulterioară a activității rău intenționate de către SentinelOne a arătat că malware-ul este „rulează prin torrente de aplicații macOS”, potrivit furnizorului de securitate.

„Datele noastre se bazează pe numărul și frecvența eșantioanelor unice care au apărut în VirusTotal”, spune Phil Stokes, cercetător pentru amenințări la SentinelOne. „În ianuarie, de când acest malware a fost descoperit pentru prima dată, am văzut mai multe mostre unice ale acestuia decât orice alt malware macOS pe care l-am [urmărit] în aceeași perioadă de timp.”

Numărul de mostre ale ușii din spate Activator pe care SentinelOne le-a observat este mai mare decât volumul de încărcătoare de adware și bundleware macOS (gândiți-vă la Adload și Pirrit) care sunt acceptate de rețelele afiliate mari, spune Stokes. „Deși nu avem date care să le coreleze cu dispozitivele infectate, rata de încărcări unice în VT și varietatea de aplicații diferite folosite ca momeli sugerează că infecțiile în sălbăticie vor fi semnificative.”

Construirea unui botnet macOS?

O posibilă explicație pentru amploarea activității este că actorul amenințării încearcă să asambla o rețea botnet macOS, dar aceasta rămâne doar o ipoteză pentru moment, spune Stokes.

Actorul de amenințări din spatele campaniei Activator folosește până la 70 de aplicații unice cracate macOS – sau aplicații „gratuite” cu protecția împotriva copierii eliminate – pentru a distribui malware-ul. Multe dintre aplicațiile sparte au titluri axate pe afaceri care ar putea fi de interes pentru persoanele aflate la locul de muncă. O mostră: Snag It, Nisus Writer Express și Rhino-8, un instrument de modelare a suprafețelor pentru inginerie, arhitectură, design auto și alte cazuri de utilizare.

„Există multe instrumente utile în scopuri profesionale care sunt folosite ca momeli de către macOS.Bkdr.Activator”, spune Stokes. „Angajatorii care nu restricționează ce software pot descărca utilizatorii ar putea fi expuși riscului de compromis dacă un utilizator descarcă o aplicație care este infectată cu ușa din spate.”

Actorii de amenințări care doresc să distribuie programe malware prin intermediul aplicațiilor crăpate înglobează de obicei codul rău intenționat și ușile din spate în cadrul aplicației în sine. În cazul Activator, atacatorul a folosit o strategie oarecum diferită pentru a oferi ușa din spate.  

Metodă de livrare diferită

Spre deosebire de multe amenințări malware macOS, Activator nu infectează de fapt software-ul crăpat în sine, spune Stokes. În schimb, utilizatorii primesc o versiune inutilizabilă a aplicației crăpate pe care doresc să o descarce și o aplicație „Activator” care conține două executabile rău intenționate. Utilizatorii sunt instruiți să copieze ambele aplicații în dosarul Aplicații și să ruleze aplicația Activator.

Apoi, aplicația solicită utilizatorului parola de administrator, pe care o folosește apoi pentru a dezactiva setările macOS Gatekeeper, astfel încât aplicațiile din afara magazinului oficial de aplicații Apple să poată rula acum pe dispozitiv. Malware-ul inițiază apoi o serie de acțiuni rău intenționate care în cele din urmă dezactivează setarea notificărilor de sistem și instalează, printre altele, un agent de lansare pe dispozitiv. Backdoor Activator în sine este un program de instalare și descărcare de primă etapă pentru alte programe malware.

Procesul de livrare în mai multe etape „oferă utilizatorului software-ul crăpat, dar închide victima în timpul procesului de instalare”, spune Stokes. „Aceasta înseamnă că, chiar dacă utilizatorul a decis ulterior să elimine software-ul crăpat, acesta nu va elimina infecția.”

Sergey Puzan, analist malware la Kaspersky, subliniază un alt aspect al campaniei Activator care este demn de remarcat. „Această campanie folosește un backdoor Python care nu apare deloc pe disc și este lansat direct din scriptul de încărcare”, spune Puzan. „Folosirea scripturilor Python fără niciun „compilator”, cum ar fi pyinstaller, este puțin mai dificilă, deoarece le cere atacatorilor să aibă un interpret Python la o anumită etapă de atac sau să se asigure că victima are instalată o versiune Python compatibilă.”

Puzan consideră, de asemenea, că un obiectiv potențial al actorului amenințării din spatele acestei campanii este construirea unui botnet macOS. Dar de la raportul Kaspersky privind campania Activator, compania nu a observat nicio activitate suplimentară, adaugă el.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique