Было замечено, что взломанное программное обеспечение заражает пользователей Apple macOS ранее недокументированным вредоносным ПО stealer, способным собирать системную информацию и данные криптовалютного кошелька.
Kaspersky, который обнаружил артефакты в дикой природе, сказал, что они предназначены для компьютеров под управлением macOS Ventura 13.6 и более поздних версий, что указывает на способность вредоносного ПО заражать компьютеры Mac с кремниевой архитектурой процессоров Intel и Apple.
В цепочках атак используются заминированные файлы образов дисков (DMG), которые включают программу с именем "Activator" и пиратскую версию законного программного обеспечения, такого как xScope.
Пользователям, которые в конечном итоге открывают файлы DMG, настоятельно рекомендуется переместить оба файла в папку Applications и запустить компонент Activator, чтобы применить предполагаемое исправление и запустить приложение xScope.
Однако при запуске Activator отображается запрос с просьбой ввести пароль системного администратора, что позволяет жертве выполнить двоичный файл Mach-O с повышенными разрешениями для запуска модифицированного исполняемого файла xScope.
"Хитрость заключалась в том, что злоумышленники взяли предварительно взломанные версии приложений и добавили несколько байт в начало исполняемого файла, таким образом отключив его, чтобы заставить пользователя запустить Activator", - сказал исследователь безопасности Сергей Пузан.
Следующий этап включает в себя установление контакта с командно-контрольным сервером (C2) для получения зашифрованного скрипта. URL-адрес C2, со своей стороны, создается путем объединения слов из двух жестко запрограммированных списков и добавления случайной последовательности из пяти букв в качестве доменного имени третьего уровня.
Затем отправляется DNS-запрос для этого домена для извлечения трех текстовых записей DNS, каждая из которых содержит фрагмент зашифрованного текста в кодировке Base64, который расшифровывается и собирается для создания скрипта Python, который, в свою очередь, обеспечивает сохраняемость и функционирует как загрузчик, связываясь с "apple-health [.]org" каждые 30 секунд для загрузки и выполнения основной полезной нагрузки.
"Это был довольно интересный и необычный способ связаться с сервером управления и скрыть активность внутри трафика, и это гарантировало загрузку полезной нагрузки, поскольку ответное сообщение поступало от DNS-сервера", - объяснил Пузан, назвав его "серьезно изобретательным".
Бэкдор, активно поддерживаемый и обновляемый субъектом угрозы, предназначен для выполнения полученных команд, сбора системных метаданных и проверки наличия кошельков Exodus и Bitcoin Core на зараженном хосте.
В случае обнаружения приложения заменяются троянскими версиями, загруженными с домена "apple-analyser [.] com", которые оснащены для передачи исходной фразы, пароля разблокировки кошелька, имени и баланса на сервер, контролируемый пользователем.
"Последней полезной нагрузкой был бэкдор, который мог запускать любые скрипты с правами администратора и заменять установленные на компьютере приложения Bitcoin Core и Exodus crypto wallet зараженными версиями, которые крали секретные фразы восстановления в момент разблокировки кошелька", - сказал Пузан.
Разработка происходит по мере того, как взломанное программное обеспечение все чаще становится каналом для компрометации пользователей macOS различными вредоносными программами, включая Trojan-Proxy и ZuRu.
