Nieuwe cryptomalware richt zich op macOS-gebruikers
De malware richt zich op de cryptocurrency van macOS-gebruikers, die is opgeslagen in digitale portemonnees. De malware wordt verspreidt via illegale applicaties.
Deze crypto Trojan is uniek op twee manieren: ten eerste gebruikt het DNS-records om zijn kwaadaardige Python-script af te leveren. Ten tweede steelt het niet alleen cryptowallets, maar vervangt het een portemonneeapplicatie door zijn eigen geïnfecteerde versie. Hierdoor kan het de geheime zin stelen die wordt gebruikt om toegang te krijgen tot de cryptocurrency die is opgeslagen in de wallets.
Gericht op macOS-gebruikers
De malware richt zich op macOS-versies 13.6 en hoger, wat duidt op een focus op gebruikers van nieuwere besturingssystemen, zowel op Intel- als op Apple Silicon-apparaten. Gecompromitteerde schijfafbeeldingen bevatten een "activator" en de gezochte applicatie. De activator, die op het eerste gezicht onschuldig lijkt, activeert de gecompromitteerde applicatie na het invoeren van het wachtwoord van de gebruiker.
De aanvallers gebruiken vooraf gecompromitteerde versies van de applicatie en manipuleren de uitvoerbare bestanden zodat ze niet werken totdat de gebruiker de activator uitvoert. Deze tactiek zorgt ervoor dat de gebruiker onbewust de gecompromitteerde applicatie activeert.
Na het patchen voert de malware zijn primaire payload uit door een DNS TXT-record te verkrijgen voor een kwaadaardig domein en daaruit een Python-script te decoderen. Het script draait eindeloos en probeert de volgende fase van de infectieketen te downloaden, die ook een Python-script is.
Nog in ontwikkeling
Het doel van de volgende payload is het uitvoeren van willekeurige commando's die van de server worden ontvangen. Hoewel er tijdens het onderzoek geen commando's werden ontvangen en de backdoor regelmatig werd bijgewerkt, is het duidelijk dat de malwarecampagne nog in ontwikkeling is. De code suggereert dat de commando's waarschijnlijk gecodeerde Python-scripts zijn.
Naast de genoemde functionaliteiten bevat het script twee opvallende functies waarbij het domein apple-analyzer[.]com betrokken is. Beide functies zijn bedoeld om te controleren op de aanwezigheid van cryptocurrency portemonnee-applicaties en deze te vervangen door versies die zijn gedownload van het opgegeven domein. Deze tactiek was gericht op zowel de Bitcoin- als de Exodus-wallet en veranderde deze applicaties in kwaadaardige entiteiten.
"De macOS-malware die gekoppeld is aan illegale software, benadrukt de ernstige risico's. Cybercriminelen gebruiken illegale apps om eenvoudig toegang te krijgen tot de computers van gebruikers en adminrechten te krijgen door hen te vragen het wachtwoord in te voeren. De makers tonen een ongewone creativiteit door een Python-script te verbergen in een DNS-serverrecord, waardoor de malware nog onzichtbaarder wordt in het netwerkverkeer. Gebruikers moeten extra voorzichtig zijn, vooral met hun cryptocurrency-wallets. Vermijd downloaden van verdachte sites en gebruik vertrouwde cybersecurity-oplossingen voor betere bescherming," zegt Sergey Puzan, security researcherbij Kaspersky.
Meer informatie is hier beschikbaar.
Meer over cryptocurrency
Over Wouter Hoeffnagel
