Geknackte Software infiziert macOS-Benutzer mit neuartigem Stealer-Malware
Das Sicherheitsunternehmen Kaspersky hat beobachtet, wie geknackte Software Apple macOS-Benutzer mit einer bisher unbekannten Stealer-Malware infiziert. Die Malware ist in der Lage, Systeminformationen und Kryptowährungs-Wallet-Daten zu sammeln. Die Angriffe richten sich an Computer, die macOS Ventura 13.6 und höher nutzen, was darauf hinweist, dass die Malware sowohl Intel- als auch Apple-Silicon-Prozessoren infizieren kann.
Die Angriffsketten nutzen präparierte Disk Image (DMG)-Dateien, die ein Programm namens „Activator“ und eine raubkopierte Version legitimer Software wie xScope enthalten. Benutzer, die diese DMG-Dateien öffnen, werden dazu aufgefordert, beide Dateien in den Ordner „Applications“ zu verschieben und das Activator-Programm auszuführen, um angeblich einen Patch anzuwenden und die xScope-App zu starten.
Beim Start von Activator erscheint jedoch eine Aufforderung, das Passwort des Systemadministrators einzugeben, wodurch es möglich wird, eine Mach-O-Binärdatei mit erweiterten Berechtigungen auszuführen, um die modifizierte xScope-Datei zu starten. „Der Trick bestand darin, dass die Angreifer vorher geknackte Versionen der Anwendungen verwendet hatten und ein paar Bytes am Anfang der ausführbaren Datei hinzugefügt hatten, um sie zu deaktivieren und den Benutzer dazu zu bringen, Activator zu starten“, sagte der Sicherheitsforscher Sergey Puzan.
Im nächsten Schritt wird eine Verbindung zu einem Command-and-Control (C2)-Server hergestellt, um ein verschlüsseltes Skript abzurufen. Die C2-URL wird durch die Kombination von Wörtern aus zwei fest codierten Listen und Hinzufügen einer zufälligen Zeichenfolge aus fünf Buchstaben als Subdomain-Name erstellt.
Eine DNS-Anfrage für diese Domain wird dann gesendet, um drei DNS TXT-Einträge abzurufen, von denen jeder ein Base64-kodiertes Ciphertext-Fragment enthält. Diese Fragmente werden entschlüsselt und zusammengefügt, um ein Python-Skript zu erstellen, das wiederum Ausdauer schafft und als Downloader fungiert, indem es alle 30 Sekunden „apple-health[.]org“ aufruft, um die Hauptnutzlast herunterzuladen und auszuführen. Puzan beschreibt diese Methode als „außergewöhnlich“ und „genial“, da die Aktivität im DNS-Verkehr verborgen wird und die Antwort vom DNS-Server stammt.
Die Backdoor, die kontinuierlich gewartet und aktualisiert wird, ist dazu ausgelegt, empfangene Befehle auszuführen, Systemmetadaten zu sammeln und nach dem Vorhandensein von Exodus- und Bitcoin-Core-Wallets auf dem infizierten Host zu suchen. Wenn diese gefunden werden, werden sie durch trojanisierte Versionen ersetzt, die von der Domain „apple-analyser[.]com“ heruntergeladen werden. Diese Versionen sind in der Lage, die Seed-Phrase, das Wallet-Entsperrpasswort, den Namen und das Guthaben an einen vom Angreifer kontrollierten Server zu übermitteln.
Dieser Vorfall zeigt, dass geknackte Software zunehmend eine Schwachstelle darstellt, um macOS-Benutzer mit verschiedenen Malware-Varianten zu kompromittieren, einschließlich Trojan-Proxy und ZuRu.