Die neuesten Forschungen des Kaspersky-Forschungsteams haben eine einzigartige Art von bösartiger Software für MacOS-Systeme enthüllt.
Diese zuvor unbekannte Malware-Familie wird heimlich über Raubkopie-Anwendungen verteilt und zielt auf die digitalen Kryptowährungs-Wallets von macOS-Nutzern ab. Im Gegensatz zu zuvor entdeckten Proxy-Trojanern konzentriert sich diese neue Bedrohung darauf, sie zu kompromittieren.
Dieser digitale Trojaner ist auf zwei Arten einzigartig. Zum einen verwendet er DNS-Einträge, um ein infiziertes Python-Skript zu liefern. Zum anderen stiehlt er nicht nur Kryptowährungs-Wallets, sondern ersetzt die Wallet-Anwendung durch seine eigene infizierte Version. Dadurch kann er die geheime Phrase stehlen, die zum Zugriff auf die in den Wallets gespeicherten Kryptowährungen verwendet wird.
Die Malware zielt hauptsächlich auf macOS-Nutzer ab, die Versionen 13.6 und neuer ausführen, was auf eine Konzentration auf Benutzer neuerer Betriebssysteme sowohl auf Geräten mit Intel-Prozessoren als auch auf Apple Silicon hindeutet. Kompromittierte Festplatten enthalten einen „Aktivierungscode“ und die gewünschte Anwendung. Der scheinbar harmlose Aktivierungscode löst die infizierte Anwendung aus, nachdem der Benutzer sein Passwort eingegeben hat.
Die Angreifer nutzen zuvor infizierte Versionen von Anwendungen aus, indem sie ausführbare Dateien modifizieren, um sie funktionsunfähig zu machen, bis der Aktivierungscode vom Benutzer ausgeführt wird. Diese Taktik führt dazu, dass der Benutzer unwissentlich die infizierte Anwendung aktiviert.
Sobald der Patch-Vorgang abgeschlossen ist, führt die bösartige Software ihre Hauptfunktion aus, indem sie DNS TXT-Einträge von einer bösartigen Domain herunterlädt und das Python-Skript entschlüsselt. Dieses Skript läuft unendlich weiter und versucht, die nächste Stufe der Infektionskette abzurufen, die ebenfalls ein Python-Skript ist.
Der nächste Link in der Infektionskette zielt darauf ab, beliebige Befehle auszuführen, die vom Server empfangen wurden. Im Rahmen der Untersuchung wurden keine Befehle empfangen, und der Backdoor wurde regelmäßig aktualisiert, was auf eine laufende Kampagne im Zusammenhang mit dieser Malware hinweist. Der Code legt nahe, dass die verschlüsselten Python-Skripte wahrscheinlich Befehle enthalten.
Neben den genannten Funktionen enthält das Skript zwei signifikante Merkmale in Bezug auf die Domain apple-analyzer[.]com. Beide Funktionen dienen dazu, das Vorhandensein von Kryptowährungs-Wallet-Anwendungen zu überprüfen und sie durch von der angegebenen Domain heruntergeladene Versionen zu ersetzen. Diese Taktik wurde bei Bitcoin- und Exodus-Wallets beobachtet, wodurch diese Anwendungen zu bösartigen Entitäten wurden.
„Lassen Sie sich nicht täuschen: Malware für macOS im Zusammenhang mit Raubkopien von Software stellt ernsthafte Gefahren dar. Kriminelle nutzen Raubkopien, um leicht Zugang zu den Computern der Benutzer zu erhalten und Administratorrechte zu erlangen, indem sie sie auffordern, ihre Passwörter bereitzustellen. Die Schöpfer zeigen außergewöhnliche Kreativität, indem sie das Python-Skript in einem DNS-Server-Eintrag verstecken und so das Stealth-Niveau dieser Malware im Netzwerkverkehr erhöhen. Benutzer sollten Vorsicht walten lassen, insbesondere bei Kryptowährungs-Wallets. Vermeiden Sie das Herunterladen von verdächtigen Quellen und nutzen Sie vertrauenswürdige Cybersecurity-Lösungen, um die Sicherheit zu verbessern“, sagt Sergey Puzan, ein Sicherheitsforscher bei Kaspersky.
Häufig gestellte Fragen zu macOS-Malware:
1. Was ist das Ziel dieser Malware-Infektion?
Die Malware wird über Raubkopie-Anwendungen verteilt und zielt darauf ab, die digitalen Kryptowährungs-Wallets von macOS-Nutzern zu stehlen.
2. Wie infiziert diese Malware Computer?
Die Malware verwendet DNS-Einträge, um ein infiziertes Python-Skript zu liefern. Anschließend ersetzt sie die Kryptowährungs-Wallet-Anwendung durch ihre eigene infizierte Version, um Zugriffsdaten zu stehlen.
3. Auf welche Betriebssysteme zielt die Malware ab?
Die Malware zielt hauptsächlich auf macOS-Nutzer ab, die Versionen 13.6 und neuer ausführen, auf Intel- und Apple Silicon-Geräten.
4. Wie funktioniert die Infektion über Raubkopie-Anwendungen?
Die Malware modifiziert ausführbare Dateien zuvor infizierter Anwendungen, um sie funktionsunfähig zu machen. Der Benutzer aktiviert unwissentlich die infizierte Anwendung, indem er das Aktivierungspasswort eingibt.
5. Was sind die Hauptfunktionen der Malware?
Die Malware ruft DNS-Einträge von einer bösartigen Domain ab und führt ein Python-Skript aus, das versucht, die nächste Stufe der Infektion abzurufen. Anschließend empfängt sie beliebige Befehle vom Server, die auf dem infizierten Gerät ausgeführt werden können.
6. Welche Kryptowährungs-Wallets sind gefährdet?
Die Malware verwendet Funktionen in Verbindung mit der Domain apple-analyzer[.]com, um das Vorhandensein von Kryptowährungs-Wallet-Anwendungen zu überprüfen und sie durch bösartige Versionen zu ersetzen. Die beobachtete Skriptverschlüsselung richtete sich gegen Bitcoin- und Exodus-Wallets.
7. Welche Vorsichtsmaßnahmen sollten getroffen werden?
Benutzer sollten Vorsicht walten lassen, wenn sie Raubkopie-Anwendungen verwenden und aus verdächtigen Quellen herunterladen. Es wird empfohlen, vertrauenswürdige Cybersecurity-Lösungen einzusetzen, um die Sicherheit zu verbessern.
Verwandte Links:
– Kaspersky (Homepage)
– Cyber-Sicherheitsdienste
The source of the article is from the blog macholevante.com