Οι χάκερ χρησιμοποιούν μια αόρατη μέθοδο για να παραδίδουν σε χρήστες macOS κακόβουλο λογισμικό, που κλέβει πληροφορίες μέσω εγγραφών DNS που κρύβουν κακόβουλα scripts.

Δείτε επίσης: Mozilla Firefox: Τέλος υποστήριξης για ορισμένες εκδόσεις macOS

Η καμπάνια φαίνεται να απευθύνεται σε χρήστες του macOS Ventura και μεταγενέστερων εκδόσεων και βασίζεται σε παραβιασμένες εφαρμογές που έχουν επανασυσκευαστεί ως PKG αρχεία και περιέχουν ένα trojan.

Οι ερευνητές της εταιρείας κυβερνοασφάλειας Kaspersky ανακάλυψαν την εκστρατεία και ανέλυσαν τα στάδια της αλυσίδας μολύνσεων.

Τα θύματα κατεβάζουν και εκτελούν το κακόβουλο λογισμικό ακολουθώντας τις οδηγίες εγκατάστασης για να το τοποθετήσουν στον φάκελο /Applications/, υποθέτοντας ότι είναι ένα Activator για την πειρατική εφαρμογή που είχαν κατεβάσει.

Αυτό ανοίγει ένα παραπλανητικό παράθυρο Activator που ζητά τον κωδικό του διαχειριστή.

Με την παραχώρηση άδειας, το malware εκτελεί ένα εκτελέσιμο ‘tool’ (Mach-O) μέσω της συνάρτησης ‘AuthorizationExecuteWithPrivileges‘ και έπειτα ελέγχει για την παρουσία του Python 3 στο σύστημα, εγκαθιστώντας το αν δεν είναι παρόν, κάνοντας τη διαδικασία να φαίνεται σαν “ενημέρωση της εφαρμογής“.

Στη συνέχεια, ο κακόβουλος κώδικας επικοινωνεί με τον διακομιστή ελέγχου και εντολών (C2 server) του, σε έναν ιστότοπο που παρουσιάζεται ως “apple-health[.]org“, για να ανακτήσει ένα base64 Python script που μπορεί να εκτελέσει αυθαίρετες εντολές στην παραβιασμένη συσκευή.

Οι ερευνητές διαπίστωσαν ότι ο επιτιθέμενος χρησιμοποίησε μια ενδιαφέρουσα μέθοδο για να επικοινωνήσει με τον διακομιστή C2 στο σωστό URL: λέξεις από δύο hardcoded λίστες και μια τυχαία ακολουθία πέντε γραμμάτων ως όνομα τομέα τρίτου επιπέδου.

Δείτε ακόμα: Νέα παραλλαγή του XLoader macOS Malware μεταμφιέζεται ως OfficeNote app

Χρησιμοποιώντας αυτήν τη μέθοδο, ο επιτιθέμενος κατάφερε να κρύψει τη δραστηριότητά του εντός της κίνησης και να κατεβάσει το φορτίο του Python script που ήταν μεταμφιεσμένο ως TXT records  από τον εξυπηρετητή DNS, το οποίο θα φαίνονταν ως φυσιολογικό αίτημα.

Η απάντηση από τον διακομιστή DNS περιείχε τρεις εγγραφές TXT, καθεμία από τις οποίες ήταν ένα κομμάτι κωδικοποιημένο σε base64 ενός κρυπτογραφημένου μηνύματος που περιέχει το σενάριο Python.

Αρχικά, αυτό το σενάριο σε Python λειτούργησε ως ένα εργαλείο λήψης για ένα άλλο σενάριο σε Python που παρέχει πρόσβαση μέσω backdoor, συλλέγει και μεταδίδει πληροφορίες για το μολυσμένο σύστημα, όπως η έκδοση του λειτουργικού συστήματος, η λίστα των καταλόγων, οι εγκατεστημένες εφαρμογές, ο τύπος της CPU και η εξωτερική διεύθυνση IP.

Το εκτελέσιμο “tool” τροποποιεί επίσης το “/Library/LaunchAgents/launched.<uuid>.plist” για να διατηρήσει την επιμονή του σε συστήματα, μεταξύ επανεκκινήσεων.

Σύμφωνα με την Kaspersky, κατά τη διάρκεια της έρευνάς τους, ο C2 επέστρεψε αναβαθμισμένες εκδόσεις του backdoor script, δείχνοντας συνεχή ανάπτυξη, αλλά δεν παρατήρησαν την εκτέλεση εντολών, οπότε μπορεί να μην έχει εφαρμοστεί ακόμα.

Το ληφθέν σενάριο περιέχει επίσης δύο λειτουργίες που ελέγχουν το μολυσμένο σύστημα για την παρουσία πορτοφολιών Bitcoin Core και Exodus· αν βρεθούν, τα αντικαθιστά με αντίγραφα που έχουν ληφθεί από το ‘apple-analyzer[.]com.’

Δείτε επίσης: SpectralBlur: Ένα νέο backdoor που στοχεύει συστήματα macOS
Ποιες είναι οι τεχνικές προστασίας από τα malware που κλέβουν πληροφορίες;

Η πρώτη και πιο βασική τεχνική είναι η εγκατάσταση ενός αξιόπιστου λογισμικού anti-malware. Αυτό θα πρέπει να περιλαμβάνει προστασία σε πραγματικό χρόνο, αυτόματες ενημερώσεις και τη δυνατότητα σάρωσης για την ανίχνευση και την αφαίρεση των malware. Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σας σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι επιτηθέμενοι συχνά εκμεταλλεύονται γνωστές ευπάθειες σε παλαιότερες εκδόσεις του λογισμικού, οπότε η ενημέρωση μπορεί να αποτρέψει την επίθεση.

Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι επίσης μια καλή πρακτική. Τα malware που κλέβουν πληροφορίες συχνά αναζητούν αδύναμους κωδικούς πρόσβασης για να παραβιάσουν τα συστήματα. Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών είναι ζωτικής σημασίας. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με τα malware, καθώς και τους τρόπους που μπορούν να προστατευτούν, όπως η αποφυγή των ύποπτων συνδέσμων και των επισυναπτόμενων αρχείων στα emails.

Πηγή: bleepingcomputer