MacOS Malware riktar sig mot Bitcoin, Exodus Cryptowallets

Färsk skadlig programvara som riktar sig till Apple-användare i USA och Tyskland infekterar Bitcoin och Exodus cryptowallet-applikationer med en trojan som distribueras via piratkopierad programvara, enligt Kaspersky-forskare.

Skadlig programvara levereras via knäckta applikationer och kan ersätta Exodus och Bitcoin cryptowallet-applikationer installerade på användarens maskin med infekterade versioner som stjäl hemliga återställningsfraser efter att plånboken har låsts upp.

Rapporten som publicerades i veckan, noterade angriparna använder DNS TXT-poster för att leverera ett krypterat Python-skript till sina offer som det andra steget av infektion.

"Processen för att ersätta plånboksapplikationen är enkel eftersom, i det här skedet, skadlig programvara redan har root-åtkomst till datorn, beviljad under det första steget av infektion", förklarar Sergey Puzan, säkerhetsexpert på Kaspersky.

Skadlig programvara tar helt enkelt bort den gamla applikationen från katalogen "/Applications/" och ersätter den med en ny, skadlig. Efter installationen och korrigeringsprocessen blir applikationerna operativa och användaren är omedveten om skadlig programvara som körs i bakgrunden.

När användare startar dessa komprometterade plånboksapplikationer skickar skadlig programvara data, inklusive startfraser eller plånbokslösenord, till en kommando-och-kontroll-server (C2) som kontrolleras av angriparna.

Detta kan resultera i att angriparna har full kontroll över offrets digitala plånbok.

"Vi vet inte varför skadlig programvara specifikt riktar sig till "färska" macOS-versioner, men det verkar som om den här kampanjen fortfarande var i utvecklingsprocessen, säger Puzan. "Vi lyckades ta emot funktionalitetsuppdateringar för sista stegets bakdörr men fick inga kommandon från servern."

Han tillade att det inte finns några specifika skäl till varför angripare fokuserar på macOS 13.6 (Ventura) och högre.

"Den enda anledningen till att skadliga aktörer använder knäckta versioner av applikationer är att sänka användarens skydd och uppmana dem att ange administratörslösenordet, och därmed ge root-åtkomst till den skadliga processen", förklarar Puzan.

Han säger att formskyddet mot sådana hot är att undvika att ladda ner några knäckta eller modifierade applikationer, även från välkända och pålitliga källor.

"Även om det här inte är en idiotsäker metod, minskar den avsevärt chanserna för kompromisser", säger Puzan. 

John Bambenek, VD på Bambenek Consulting, säger att även om användningen av piratkopierade applikationer som ett medel för skadlig programvara inte är en särskilt ny teknik, är urvalet av macOSX-applikationer med funktionalitet för att stjäla kryptovaluta-plånböcker unikt.  

"Eftersom säkerheten för att förhindra att stjäla kryptovaluta är beroende av integriteten för den privata plånboksnyckeln och lösenordsfrasen, innebär att stjäla båda att angriparen omedelbart kan tjäna pengar på offret", förklarar han.

Utveckling av hot mot plånböcker i kryptovaluta 

År 2023 fanns det många skadliga kampanjer som riktade sig till ägare av kryptovalutaplånböcker, men Kaspersky-fynden indikerar att vissa angripare nu går längre för att säkerställa att de kommer åt innehållet i sina offers kryptoplånböcker samtidigt som de förblir oupptäckta så länge som möjligt.

"Även om det är utmanande att förutsäga de hot vi kommer att möta 2024, lockar den ökande populariteten för kryptovalutor till ökad kriminell aktivitet", säger Puzan. 

Adam Neel, hotdetekteringsingenjör på Critical Start, noterar att illvilliga aktörer anpassar sina tekniker för att dra fördel av kryptovalutanvändares beteenden och preferenser.

"De använder social ingenjörsteknik, som att erbjuda piratkopierad programvara, för att locka offer att ladda ner skadlig programvara", säger han. "Den skadliga programvarans förmåga att ersätta legitima plånboksapplikationer och fortsätta fungera även när C2-servern inte svarar visar en nivå av uthållighet som kan vara utmanande för användare att upptäcka och ta bort."

Bambenek noterar att många av de OS-försedda skydden måste inaktiveras uttryckligen för att få dessa applikationer på systemet i första hand, så den största försvarsmekanismen är att undvika piratkopierad programvara och källapplikationer endast från den officiella appbutiken.

"För de användare som fortfarande vill ha piratkopierade applikationer bör de behålla kryptovalutaapplikationer och sina privata plånböcker på säkra maskiner som inte har sådan programvara nedladdad och installerad på den", säger han. 

Neel säger att användare måste fortsätta att vidta försiktighetsåtgärder, särskilt när de lagrar stora mängder digital valuta.

"Kryptovaluta förblir ett attraktivt mål för cyberbrottslingar, så illvilliga aktörer kommer att motiveras att utveckla sina beteenden och teknik", säger han. 

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets