To złośliwe oprogramowanie dla systemu MacOS ukryte pod GTA6 dokonuje napadu na hasła pęku kluczy

cyberfeed.pl 3 miesięcy temu

Podczas analizy różnych fragmentów godnego uwagi złodzieja systemu macOS badacze bezpieczeństwa w Moonlock odkryli jednego o alarmującym poziomie wyrafinowania. Pod przykrywką niewydanej gry wideo GTA6 po zainstalowaniu szkodliwe oprogramowanie wykorzystuje dość sprytne techniki w celu wydobycia poufnych informacji, takich jak hasła z lokalnego pęku kluczy użytkownika.

W typowym Ugryzienie bezpieczeństwa fashion, oto podział: jak to działa i jak zachować bezpieczeństwo.

9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, iż urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji oraz ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM w sklepie. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której w tej chwili zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.

Jak informowałem w poprzednim wydaniu Ugryzienie bezpieczeństwa, złośliwe oprogramowanie stworzone specjalnie z myślą o systemie macOS stale zyskuje na popularności wraz ze wzrostem popularności komputerów Mac. Ostatni rok, 21 nowych rodzin szkodliwego oprogramowania odkryto na wolności, co stanowi wzrost o 50% w porównaniu z 2022 r.

Pomimo tego przez cały czas panuje powszechne błędne przekonanie, iż ugrupowania zagrażające nie atakują maszyn Apple. Chociaż mogło to być prawdą w przeszłości, z pewnością nie jest tak dzisiaj. Nie tylko rośnie liczba ataków złośliwego oprogramowania, ale stają się one bardziej wyrafinowane niż kiedykolwiek.

Jak to działa

Podczas analizy Księżycowy zamekdział cyberbezpieczeństwa firmy MacPaw odkrył, iż nowa próbka złośliwego systemu to odmiana systemu kradnącego hasła (PSW), rodzaju złośliwego systemu trojańskiego zaprojektowanego do zbierania loginów i haseł z zainfekowanych maszyn i wysyłania ich z powrotem do ugrupowania zagrażającego za pośrednictwem zdalnego połączenia lub e-mail.

Badacze odkryli, iż szkodliwe oprogramowanie podszywa się pod kopię GTA6 lub piracką wersję Notion. Jest to powszechna sztuczka inżynierii społecznej, która wykorzystuje zaufanie poprzez użycie znanej nomenklatury w celu oszukania użytkowników w celu pobrania złośliwego oprogramowania.

Warto zauważyć, iż wszystkie komputery Mac są wyposażone w zainstalowaną wersję systemu macOS Gatekeeper, która działa w tle i uniemożliwia użytkownikom pobieranie z Internetu niepodpisanych aplikacji, które mogą zawierać złośliwe oprogramowanie. Użytkownik może jednak pominąć tę funkcję bezpieczeństwa, klikając plik DMG prawym przyciskiem myszy i naciskając „Otwórz”. Cyberprzestępcy wykorzystują tę łatwość, dołączając grafikę instruującą użytkownika, jak otworzyć szkodliwy plik.

Po wykonaniu DMG uwalnia plik Mach-O o nazwie AppleApp.

„Następnie AppleApp inicjuje żądanie GET do określonego adresu URL pochodzącego z rosyjskiego adresu IP. jeżeli połączenie się powiedzie, program rozpocznie pobieranie częściowo zaciemnionego ładunku AppleScript i Bash. Ten ładunek jest wykonywany bezpośrednio z pamięci aplikacji, z pominięciem systemu plików” – Moonlock stwierdzono w poście na blogu o ustaleniach.

Po wykonaniu ładunek wykorzystuje wieloaspektowe podejście do osiągnięcia swoich złośliwych celów. W tej kolejności:

Wyłudzanie danych uwierzytelniających
Targetowanie wrażliwych danych
Profilowanie systemu
Eksfiltracja danych

Ponieważ dostęp do lokalnej bazy danych pęku kluczy można uzyskać jedynie dzięki hasła systemowego użytkownika, szkodliwe oprogramowanie stosuje swoją drugą sprytną technikę. Wdraża fałszywe okno instalacji aplikacji pomocniczej, w jeszcze większym stopniu wykorzystując zaufanie i oszukując użytkownika do ujawnienia hasła.

Szkodnik zaczyna teraz atakować bazy danych Keychain i wiele innych źródeł wrażliwych danych.

„Szkodnik z precyzją przeszukuje katalogi systemowe w poszukiwaniu cennych danych, takich jak pliki cookie, historia formularzy i dane logowania w popularnych przeglądarkach internetowych, w tym Chrome, Firefox, Brave, Edge, Opera i OperaGX. Dodatkowo wyszukuje najnowszą listę serwerów z FileZilla, bazy danych macOS Keychain i portfele kryptowalut.

Co więcej, korzystając z bardziej wyrafinowanych skryptów AppleScript, szkodliwe oprogramowanie tworzy tajny folder w katalogach domowych użytkowników. Tutaj przechowywane są wszelkie zebrane loginy, hasła i klucze, które oczekują na ekstrakcję z zainfekowanego systemu na zewnętrzny serwer kontrolowany przez cyberprzestępcę.

Jak chronić się przed złodziejami systemu MacOS

Chociaż celem zaledwie około 6% wszystkich szkodliwych programów dla użytkowników komputerów Mac są użytkownicy komputerów Mac, ugrupowania zagrażające aktywnie atakują macOS częściej niż kiedykolwiek. Ważne jest, aby zachować czujność i przez cały czas korzystać z popularnych internetowych porad.

Być może znasz już wiele z tych wskazówek, ale uważam, iż ważne jest, aby je ponownie przytoczyć w odniesieniu do złodziei systemu macOS:

Przed zainstalowaniem czegokolwiek poza oficjalnym sklepem Mac App Store należy zachować należytą staranność
W żadnym wypadku użytkownik nie powinien postępować zgodnie z instrukcjami w celu ominięcia Gatekeepera
Zachowaj ostrożność w przypadku wszelkich monitów systemowych lub próśb o udostępnienie poufnych informacji
Aktualizuj swoje urządzenia i aplikacje, aby chronić się przed najnowszymi zagrożeniami i lukami w zabezpieczeniach