Säkerhetsforskare har slagit larm om en ny cyberattackkampanj som använder knäckta kopior av populära mjukvaruprodukter för att distribuera en bakdörr till macOS-användare.
Vad skiljer kampanjen från många andra som har använt en liknande taktik - som en som rapporterades precis tidigare denna månad involverar kinesiska webbplatser — är dess stora skala och dess nya teknik för leverans av nyttolast i flera steg. Också anmärkningsvärt är hotaktörens användning av knäckta macOS-appar med titlar som sannolikt är av intresse för affärsanvändare, så organisationer som inte begränsar vad användare laddar ner kan också vara i riskzonen.
Kaspersky var först med upptäcka och rapportera på Activator macOS-bakdörren i januari 2024. En efterföljande analys av den skadliga aktiviteten av SentinelOne har visat att skadlig programvara är "strömmar genom torrents av macOS-appar", enligt säkerhetsförsäljaren.
"Vår data är baserad på antalet och frekvensen av unika prover som har dykt upp i VirusTotal", säger Phil Stokes, en hotforskare på SentinelOne. "I januari sedan den här skadliga programvaran först upptäcktes, har vi sett fler unika exempel på detta än någon annan macOS-skadlig programvara som vi [spårade] under samma tidsperiod."
Antalet prover av Activator-bakdörren som SentinelOne har observerat är mer än till och med volymen av macOS adware och bundleware-lastare (tänk Adload och Pirrit) som stöds av stora affiliate-nätverk, säger Stokes. "Även om vi inte har några data för att korrelera det med infekterade enheter, tyder frekvensen av unika uppladdningar till VT och mängden olika applikationer som används som beten att infektioner i naturen kommer att vara betydande."
Bygga ett macOS Botnet?
En potentiell förklaring till aktivitetens omfattning är att hotaktören försöker montera ett macOS-botnät, men det förblir bara en hypotes för tillfället, säger Stokes.
Hotaktören bakom Activator-kampanjen använder så många som 70 unika knäckta macOS-applikationer – eller "gratis" appar med borttagna kopieringsskydd – för att distribuera skadlig programvara. Många av de knäckta apparna har affärsfokuserade titlar som kan vara av intresse för individer på arbetsplatsen. Ett urval: Snag It, Nisus Writer Express och Rhino-8, ett ytmodelleringsverktyg för teknik, arkitektur, bildesign och andra användningsområden.
"Det finns många användbara verktyg för arbetsändamål som används som beten av macOS.Bkdr.Activator", säger Stokes. "Arbetsgivare som inte begränsar vilken programvara användare kan ladda ner kan riskera att kompromissa om en användare laddar ner en app som är infekterad med bakdörren."
Hotaktörer som försöker distribuera skadlig programvara via knäckta appar bäddar vanligtvis in den skadliga koden och bakdörrarna i själva appen. När det gäller Activator har angriparen använt en något annorlunda strategi för att leverera bakdörren.
Olika leveranssätt
Till skillnad från många macOS-hot med skadlig programvara, infekterar Activator faktiskt inte själva den knäckta programvaran, säger Stokes. Istället får användare en oanvändbar version av den knäckta appen de vill ladda ner, och en "Activator"-app som innehåller två skadliga körbara filer. Användare uppmanas att kopiera båda apparna till mappen Applications och köra Activator-appen.
Appen ber sedan användaren om administratörslösenordet, som den sedan använder för att inaktivera macOS Gatekeeper-inställningar så att applikationer utanför Apples officiella appbutik nu kan köras på enheten. Skadlig programvara initierar sedan en serie skadliga åtgärder som i slutändan stänger av systemaviseringsinställningen och installerar bland annat en Launch Agent på enheten. Själva Activator-bakdörren är ett första stegs installationsprogram och nedladdningsverktyg för annan skadlig programvara.
Flerstegsleveransprocessen "förser användaren med den knäckta programvaran, men backdoor offret under installationsprocessen", säger Stokes. "Detta betyder att även om användaren senare bestämde sig för att ta bort den knäckta programvaran, kommer den inte att ta bort infektionen."
Sergey Puzan, malwareanalytiker på Kaspersky, pekar på en annan aspekt av Activator-kampanjen som är anmärkningsvärd. "Den här kampanjen använder en Python-bakdörr som inte visas på disken alls och som startas direkt från loader-skriptet", säger Puzan. "Att använda Python-skript utan några 'kompilatorer' som pyinstaller är lite svårare eftersom det kräver att angripare bär en Python-tolk i något attackskede eller se till att offret har en kompatibel Python-version installerad."
Puzan tror också att ett potentiellt mål för hotaktören bakom denna kampanj är att bygga ett macOS-botnät. Men sedan Kasperskys rapport om Activator-kampanjen har företaget inte observerat någon ytterligare aktivitet, tillägger han.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique
- : har
- :är
- :inte
- 2024
- 7
- 70
- a
- Enligt
- tvärs
- åtgärder
- aktivitet
- aktörer
- faktiskt
- Annat
- Lägger
- administration
- Dotterbolag
- Recensioner
- larm
- Alla
- också
- bland
- an
- analys
- analytiker
- och
- Annan
- vilken som helst
- app
- app store
- visas
- syntes
- Apple
- tillämpningar
- appar
- arkitektur
- ÄR
- AS
- aspekt
- At
- attackera
- angripare
- försök
- fordonsindustrin
- bakdörr
- Bakdörrar
- baserat
- BE
- bakom
- Där vi får lov att vara utan att konstant prestera,
- tror
- Bit
- båda
- botnät
- SLUTRESULTAT
- Byggnad
- företag
- men
- by
- Kampanj
- KAN
- bära
- Vid
- fall
- kinesisk
- koda
- företag
- kompatibel
- kompromiss
- kunde
- knäckt
- Cyber attack
- datum
- beslutade
- leverera
- leverans
- Designa
- anordning
- enheter
- olika
- direkt
- upptäckt
- distribuera
- do
- doesn
- donation
- ladda ner
- Nedladdningar
- under
- Tidigare
- embed
- anställd
- arbetsgivare
- Teknik
- säkerställa
- Även
- förklaring
- uttrycker
- Förnamn
- För
- Fri
- Frekvens
- från
- Gatekeeper
- skaffa sig
- Målet
- Har
- he
- HTTPS
- if
- in
- individer
- infektioner
- initierar
- installera
- Installationen
- installerad
- istället
- intresse
- IT
- DESS
- sig
- Januari
- jpg
- bara
- kaspersky
- Large
- senare
- lansera
- lanserades
- sannolikt
- Lastaren
- Mac OS
- GÖR
- skadlig
- malware
- många
- betyder
- metod
- modellering
- ögonblick
- Månad
- mer
- nätverk
- Nya
- Nej
- anmärkningsvärd
- anmälningar
- roman
- nu
- antal
- talrik
- of
- sänkt
- tjänsteman
- on
- ONE
- or
- organisationer
- Övriga
- Övrigt
- vår
- utanför
- över
- Lösenord
- perioden
- PHIL
- plato
- Platon Data Intelligence
- PlatonData
- poäng
- Populära
- potentiell
- process
- Produkter
- prompter
- ger
- syfte
- Python
- Betygsätta
- resterna
- ta bort
- avlägsnas
- rapport
- Rapporterad
- kräver
- forskaren
- forskare
- begränsa
- Risk
- Körning
- s
- Samma
- säger
- Skala
- skript
- skript
- säkerhet
- söker
- sett
- Serier
- inställning
- inställningar
- visade
- signifikant
- liknande
- eftersom
- krux
- So
- Mjukvara
- några
- något
- lät
- Sponsrade
- Etapp
- lagra
- Strategi
- senare
- sådana
- Föreslår
- Som stöds
- yta
- System
- Tekniken
- än
- den där
- Smakämnen
- sedan
- Där.
- de
- saker
- tror
- detta
- hot
- hot
- Genom
- tid
- titlar
- till
- verktyg
- verktyg
- SVÄNG
- två
- typiskt
- Ytterst
- unika
- användning
- Begagnade
- användbara
- Användare
- användare
- användningar
- med hjälp av
- mängd
- Ve
- leverantör
- version
- via
- Victim
- volym
- vill
- var
- we
- VÄL
- Vad
- som
- medan
- kommer
- med
- inom
- utan
- Arbete
- Arbetsplats
- författare
- zephyrnet
