Achtung Macbook-Nutzer! Malware-Angriff zielt auf Krypto-User

In der schnell wachsenden Krypto-Branche hat die weit verbreitete Nutzung von Kryptowährungen nicht nur legitime Nutzer angezogen, sondern auch Cyberkriminelle, die versuchen, Schwachstellen auszunutzen. Jüngste Erkenntnisse des Cybersecurity-Unternehmens Kaspersky geben Aufschluss über einen ausgeklügelten Malware-Angriff, der es auf Macbook-Nutzer im Krypto-Raum abgesehen hat.

Abgreifen sensibler Daten von infizierten Mac-Systemen

Die Experten von Kaspersky Lab fanden heraus, dass die Angreifer bereits geknackte Anwendungen als Paketdateien (PKG) - ein auf Macbooks häufig verwendetes Dateiformat - neu packten und einen Trojaner-Proxy sowie ein Installationsskript einbetteten.

Die mit Malware verseuchten Anwendungen wurden hauptsächlich über Software-Raubkopien verbreitet. Sobald Benutzer versuchten, die geknackten Anwendungen zu installieren, lösten sie unwissentlich den Infektionsprozess aus.

Um die Benutzer zu täuschen, zeigte das infizierte Installationspaket ein Fenster mit Installationsanweisungen an, in dem sie angewiesen wurden, die Anwendung in das Verzeichnis /Applications/ zu kopieren und eine Anwendung namens "Activator" zu starten.

Obwohl Activator auf den ersten Blick recht simpel erscheint, forderte er die Benutzer auf, ein Passwort einzugeben, wodurch die Malware effektiv Administratorrechte erhielt.

Bei der Ausführung überprüfte die Malware das System auf eine installierte Kopie der Programmiersprache Python 3 und installierte, falls nicht vorhanden, eine zuvor kopierte Version von Python 3 aus dem Macbook-Betriebssystemverzeichnis.

Die Malware hat dann die heruntergeladene App "gepatcht", indem sie die modifizierte ausführbare Datei mit einer in Activator fest kodierten Sequenz verglichen hat. Wurde eine Übereinstimmung gefunden, entfernte die Malware die ursprünglichen Bytes, so dass die Anwendung für den Benutzer geknackt und funktionsfähig erschien. Die wahren Absichten der Angreifer wurden jedoch deutlich, als die Malware ihre Hauptnutzlast initiierte.

Das infizierte Beispiel stellte die Kommunikation mit einem Command-and-Control-Server (C2) her, indem es eine eindeutige URL (Uniform Resource Locator) oder Webadresse durch eine Kombination aus fest codierten Wörtern und einem zufälligen Domainnamen der dritten Ebene generierte.

Diese Methode ermöglichte es der Malware, ihre Aktivitäten im normalen DNS-Serververkehr zu verbergen und den Download der Nutzdaten sicherzustellen. Das entschlüsselte Skript des C2-Servers - ein entfernter Server oder eine Infrastruktur, die von Cyberkriminellen zur Steuerung und Verwaltung ihrer Malware- oder Botnet-Operationen verwendet wird - zeigte, dass die Malware durch die Ausführung beliebiger, vom Server empfangener Befehle arbeitete. Diese Befehle wurden häufig in Form von Base64-kodierten Python-Skripten übermittelt.

Darüber hinaus sammelte die Malware sensible Informationen von dem infizierten System, darunter die Betriebssystemversion, Benutzerverzeichnisse, die Liste der installierten Anwendungen, den CPU-Typ und die externe IP-Adresse. Die gesammelten Daten wurden dann an den Server zurückgeschickt.

Malware-Kampagne zielt auf Krypto-Wallet-Anwendungen ab

Bei der Analyse der Malware-Kampagne stellte Kaspersky fest, dass der C2-Server während der Untersuchung keine Befehle zurückgab und schließlich nicht mehr reagierte.

Spätere Versuche, das Python-Skript der dritten Stufe herunterzuladen, führten jedoch zur Entdeckung von Aktualisierungen in den Metadaten des Skripts, was auf eine kontinuierliche Weiterentwicklung und Anpassung durch die Malware-Betreiber hindeutet.

Außerdem enthielt die Malware Funktionen, die speziell auf beliebte Krypto-Wallet-Anwendungen wie Exodus und Bitcoin-Qt abzielten.

Wenn diese Anwendungen auf dem infizierten System erkannt wurden, versuchte die Malware, sie durch infizierte Versionen zu ersetzen, die von einem anderen Host, apple-analyzer [.]com, bezogen wurden.

Diese infizierten Krypto-Wallets enthielten Mechanismen, um Passwörter zum Entsperren der Wallets und geheime Wiederherstellungsphrasen von ahnungslosen Benutzern zu stehlen. Das Cybersicherheitsunternehmen betonte, dass böswillige Akteure weiterhin geknackte Anwendungen verbreiten, um sich Zugang zu den Computern der Nutzer zu verschaffen.

Indem sie das Vertrauen der Benutzer während der Softwareinstallation ausnutzen, können Angreifer ihre Privilegien leicht ausweiten, indem sie die Benutzer zur Eingabe ihrer Passwörter auffordern. Kaspersky hob auch die von der Malware-Kampagne verwendeten Techniken hervor, wie z. B. das Speichern des Python-Skripts in einem Domain-TXT-Eintrag auf einem DNS-Server, was den "Einfallsreichtum" der Angreifer demonstriert.

Auf Google News folgen

Jetzt abonnieren