Onderzoekers van Kaspersky hebben een onconventionele vorm van macOS-malware ontdekt. Deze voorheen onbekende familie van schadelijke software, die onopvallend wordt verspreid via illegale applicaties, richt zich op de cryptocurrency van macOS-gebruikers, die is opgeslagen in digitale portemonnees. In tegenstelling tot proxy trojans die Kaspersky eerder heeft gevonden, richt deze nieuwe dreiging zich op het aantasten ervan.
Deze crypto Trojan is uniek op twee manieren: ten eerste gebruikt het DNS-records om zijn kwaadaardige Python-script af te leveren. Ten tweede steelt het niet alleen cryptowallets, maar vervangt het een portemonneeapplicatie door zijn eigen geïnfecteerde versie. Hierdoor kan het de geheime zin stelen die wordt gebruikt om toegang te krijgen tot de cryptocurrency die is opgeslagen in de wallets.
De malware richt zich op macOS-versies 13.6 en hoger, wat duidt op een focus op gebruikers van nieuwere besturingssystemen, zowel op Intel- als op Apple Silicon-apparaten. Gecompromitteerde schijfafbeeldingen bevatten een "activator" en de gezochte applicatie. De activator, die op het eerste gezicht onschuldig lijkt, activeert de gecompromitteerde applicatie na het invoeren van het wachtwoord van de gebruiker.
De aanvallers gebruiken vooraf gecompromitteerde versies van de applicatie en manipuleren de uitvoerbare bestanden zodat ze niet werken totdat de gebruiker de activator uitvoert. Deze tactiek zorgt ervoor dat de gebruiker onbewust de gecompromitteerde applicatie activeert.
Na het patchen voert de malware zijn primaire payload uit door een DNS TXT-record te verkrijgen voor een kwaadaardig domein en daaruit een Python-script te decoderen. Het script draait eindeloos en probeert de volgende fase van de infectieketen te downloaden, die ook een Python-script is.
Het doel van de volgende payload is het uitvoeren van willekeurige commando's die van de server worden ontvangen. Hoewel er tijdens het onderzoek geen commando's werden ontvangen en de backdoor regelmatig werd bijgewerkt, is het duidelijk dat de malwarecampagne nog in ontwikkeling is. De code suggereert dat de commando's waarschijnlijk gecodeerde Python-scripts zijn.
Naast de genoemde functionaliteiten bevat het script twee opvallende functies waarbij het domein apple-analyzer[.]com betrokken is. Beide functies zijn bedoeld om te controleren op de aanwezigheid van cryptocurrency portemonnee-applicaties en deze te vervangen door versies die zijn gedownload van het opgegeven domein. Deze tactiek was gericht op zowel de Bitcoin- als de Exodus-wallet en veranderde deze applicaties in kwaadaardige entiteiten.
"De macOS-malware die gekoppeld is aan illegale software, benadrukt de ernstige risico's. Cybercriminelen gebruiken illegale apps om eenvoudig toegang te krijgen tot de computers van gebruikers en adminrechten te krijgen door hen te vragen het wachtwoord in te voeren. De makers tonen een ongewone creativiteit door een Python-script te verbergen in een DNS-serverrecord, waardoor de malware nog onzichtbaarder wordt in het netwerkverkeer. Gebruikers moeten extra voorzichtig zijn, vooral met hun cryptocurrency-wallets. Vermijd downloaden van verdachte sites en gebruik vertrouwde cybersecurity-oplossingen voor betere bescherming," zegt Sergey Puzan, security researcherbij Kaspersky.
Meer informatie over deze Trojan kan je vinden op
Securelist.com.
###
Over Kaspersky
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten om geavanceerde digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers en 240.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op
www.kaspersky.nl.