Кампания по распространению вредоносного ПО для macOS демонстрирует новый метод доставки

Исследователи безопасности забили тревогу в связи с новой кампанией кибератак с использованием взломанных копий популярных программных продуктов для распространения бэкдора среди пользователей macOS.

Что отличает эту кампанию от многих других, в которых использовалась аналогичная тактика, например, о той, о которой сообщалось чуть ранее в этом месяце? с участием китайских сайтов — это его огромные масштабы и новая, многоступенчатая технология доставки полезной нагрузки. Также следует отметить использование злоумышленниками взломанных приложений macOS с названиями, которые, вероятно, представляют интерес для бизнес-пользователей, поэтому организации, которые не ограничивают то, что пользователи загружают, также могут подвергаться риску.

Касперский был первым, кто обнаружить и сообщить на бэкдоре Activator macOS в январе 2024 года. Последующий анализ вредоносной активности, проведенный SentinelOne, показал, что вредоносное ПО «использование торрентов приложений macOS», - сообщает поставщик безопасности.

«Наши данные основаны на количестве и частоте уникальных образцов, которые появляются в VirusTotal», — говорит Фил Стоукс, исследователь угроз из SentinelOne. «В январе, с тех пор как это вредоносное ПО было впервые обнаружено, мы увидели больше его уникальных образцов, чем любое другое вредоносное ПО для macOS, которое мы [отслеживали] за тот же период времени».

По словам Стоукса, количество образцов бэкдора Activator, обнаруженных SentinelOne, превышает даже объем рекламного ПО и загрузчиков комплектного ПО для macOS (например, Adload и Pirrit), которые поддерживаются крупными партнерскими сетями. «Хотя у нас нет данных, которые могли бы сопоставить это с зараженными устройствами, количество уникальных загрузок в VT и разнообразие различных приложений, используемых в качестве приманок, позволяют предположить, что случаи заражения в дикой природе будут значительными».

Создаете ботнет для macOS?

Одним из возможных объяснений масштаба активности является то, что злоумышленник пытается создать ботнет для macOS, но на данный момент это остается лишь гипотезой, говорит Стоукс.

Злоумышленник, стоящий за кампанией Activator, использует до 70 уникальных взломанных приложений macOS — или «бесплатных» приложений со снятой защитой от копирования — для распространения вредоносного ПО. Многие из взломанных приложений имеют бизнес-ориентированные названия, которые могут быть интересны людям, работающим на рабочих местах. Пример: Snag It, Nisus Writer Express и Rhino-8, инструмент моделирования поверхности для инженерии, архитектуры, автомобильного дизайна и других вариантов использования.

«Существует множество инструментов, полезных для рабочих целей, которые macOS.Bkdr.Activator использует в качестве приманки», — говорит Стоукс. «Работодатели, которые не ограничивают то, какое программное обеспечение могут загружать пользователи, могут оказаться под угрозой компрометации, если пользователь загрузит приложение, зараженное бэкдором».

Злоумышленники, стремящиеся распространить вредоносное ПО через взломанные приложения, обычно встраивают вредоносный код и бэкдоры в само приложение. В случае с Activator злоумышленник применил несколько иную стратегию для установки бэкдора.  

Другой способ доставки

По словам Стоукса, в отличие от многих вредоносных программ для macOS, Activator фактически не заражает взломанное программное обеспечение. Вместо этого пользователи получают непригодную для использования версию взломанного приложения, которое они хотят загрузить, и приложение «Активатор», содержащее два вредоносных исполняемых файла. Пользователям предлагается скопировать оба приложения в папку «Приложения» и запустить приложение Activator.

Затем приложение запрашивает у пользователя пароль администратора, который затем использует для отключения настроек Gatekeeper в macOS, чтобы теперь на устройстве могли запускаться приложения из-за пределов официального магазина приложений Apple. Затем вредоносная программа инициирует серию вредоносных действий, которые в конечном итоге, среди прочего, отключают настройку системных уведомлений и устанавливают на устройство агент запуска. Бэкдор Activator сам по себе является установщиком и загрузчиком первого этапа других вредоносных программ.

Многоэтапный процесс доставки «предоставляет пользователю взломанное программное обеспечение, но скрывает жертву в процессе установки», — говорит Стоукс. «Это означает, что даже если пользователь позже решит удалить взломанное программное обеспечение, это не устранит заражение».

Сергей Пузан, аналитик вредоносного ПО «Лаборатории Касперского», указывает на еще один примечательный аспект кампании Activator. «В этой кампании используется бэкдор Python, который вообще не отображается на диске и запускается непосредственно из сценария-загрузчика», — говорит Пузан. «Использовать скрипты Python без каких-либо «компиляторов», таких как pyinstaller, немного сложнее, поскольку на каком-то этапе атаки злоумышленникам необходимо иметь с собой интерпретатор Python или убедиться, что у жертвы установлена ​​совместимая версия Python».

Пузан также считает, что одной из потенциальных целей злоумышленника, стоящего за этой кампанией, является создание ботнета для macOS. Но после отчета Касперского о кампании Activator компания не заметила никакой дополнительной активности, добавляет он.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique