Зловмисне програмне забезпечення MacOS націлено на криптовалютні гаманці Bitcoin, Exodus

Згідно з даними дослідників Kaspersky, нове шкідливе програмне забезпечення, націлене на користувачів Apple у США та Німеччині, заражає додатки криптовалютного гаманця Bitcoin і Exodus трояном, який поширюється через піратське програмне забезпечення.

Зловмисне програмне забезпечення доставляється через зламані програми та може замінити додатки криптовалютного гаманця Exodus і Bitcoin, встановлені на комп’ютері користувача, інфікованими версіями, які викрадають секретні фрази відновлення після розблокування гаманця.

У звіті, опублікованому цього тижня, зазначив, зловмисники використовують записи DNS TXT для доставки зашифрованого сценарію Python своїм жертвам як другий етап зараження.

«Процес заміни додатка гаманця простий, оскільки на цьому етапі зловмисне програмне забезпечення вже має root-доступ до комп’ютера, наданий на першому етапі зараження», — пояснює Сергій Пузан, експерт з безпеки Kaspersky.

Зловмисне програмне забезпечення просто видаляє стару програму з каталогу «/Applications/» і замінює її новою, шкідливою. Після інсталяції та процесу виправлення програми починають працювати, і користувач не підозрює про зловмисне програмне забезпечення, що працює у фоновому режимі.

Коли користувачі запускають ці скомпрометовані програми-гаманці, зловмисне програмне забезпечення надсилає дані, у тому числі вихідні фрази або паролі гаманця, на сервер керування (C2), контрольований зловмисниками.

Це може призвести до повного контролю зловмисників над цифровим гаманцем жертви.

«Ми не знаємо, чому зловмисне програмне забезпечення націлено саме на «свіжі» версії macOS, але, схоже, ця кампанія все ще була в процесі розробки», — каже Пузан. «Нам вдалося отримати оновлення функціональних можливостей для останнього етапу бекдору, але не отримали жодних команд від сервера».

Він додав, що немає конкретних причин, чому зловмисники зосереджуються на macOS 13.6 (Ventura) і вище.

«Єдина причина, чому зловмисники використовують зламані версії додатків, — це знизити охорону користувача та запропонувати йому ввести пароль адміністратора, таким чином надавши root-доступ до шкідливого процесу», — пояснює Пузан.

Він каже, що форма захисту від таких загроз полягає в тому, щоб уникати завантаження будь-яких зламаних або модифікованих програм, навіть із добре відомих і надійних джерел.

«Хоча це не надійний метод, він значно зменшує ймовірність компромісу», — говорить Пузан. 

Джон Бамбенек, президент Bambenek Consulting, каже, що хоча використання піратських програм як засобу розповсюдження зловмисного програмного забезпечення не є особливо новою технікою, вибір додатків macOSX із функціями крадіжки криптовалютних гаманців є унікальним.  

«Оскільки захист для запобігання крадіжці криптовалюти залежить від конфіденційності приватного ключа гаманця та парольної фрази, викрадення обох означає, що зловмисник може негайно монетизувати жертву», — пояснює він.

Еволюція загроз для криптовалютних гаманців 

У 2023 році проводилися численні зловмисні кампанії, націлені на власників криптовалютних гаманців, але висновки Kaspersky показують, що деякі зловмисники тепер докладають більше зусиль, щоб отримати доступ до вмісту криптовалютних гаманців своїх жертв, залишаючись непоміченими якомога довше.

«Хоча складно передбачити загрози, з якими ми зіткнемося у 2024 році, зростаюча популярність криптовалют приваблює посилення кримінальної активності», — говорить Пузан. 

Адам Ніл, інженер із виявлення загроз у Critical Start, зазначає, що зловмисники адаптують свої методи, щоб скористатися перевагами поведінки та переваг користувачів криптовалюти.

«Вони використовують тактику соціальної інженерії, наприклад пропонуючи піратське програмне забезпечення, щоб спонукати жертв завантажувати зловмисне програмне забезпечення», — каже він. «Здатність зловмисного програмного забезпечення замінювати законні програми-гаманці та продовжувати роботу, навіть коли сервер C2 не відповідає, демонструє рівень стійкості, який користувачам може бути важко виявити та видалити».

Бамбенек зазначає, що багато засобів захисту, які надає ОС, потрібно було явно вимкнути, щоб отримати ці програми в системі, тому найбільшим механізмом захисту є уникнення піратського програмного забезпечення та вихідних програм лише з офіційного магазину програм.

«Користувачі, яким все ще потрібні піратські програми, повинні зберігати криптовалютні програми та свої приватні гаманці на захищених машинах, на яких не завантажено та встановлено таке програмне забезпечення», — говорить він. 

Ніл каже, що користувачі повинні продовжувати вживати заходів обережності, особливо під час зберігання великих обсягів цифрової валюти.

«Криптовалюта залишається привабливою мішенню для кіберзлочинців, тому зловмисники будуть мотивовані розвивати свою поведінку та технології», — говорить він. 

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets