Overslaan naar hoofdinhoud

Nieuwe macOS-backdoor richt zich op cryptocurrency-wallets

22 januari 2024

Onderzoekers van Kaspersky hebben een onconventionele vorm van macOS-malware ontdekt. Deze voorheen onbekende familie van schadelijke software, die onopvallend wordt verspreid via illegale applicaties, richt zich op de cryptocurrency van macOS-gebruikers, die is opgeslagen in digitale portemonnees. In tegenstelling tot proxy trojans die Kaspersky eerder heeft gevonden, richt deze nieuwe dreiging zich op het aantasten ervan.

Deze crypto Trojan is uniek op twee manieren: ten eerste gebruikt het DNS-records om zijn kwaadaardige Python-script af te leveren. Ten tweede steelt het niet alleen cryptowallets, maar vervangt het een portemonneeapplicatie door zijn eigen geïnfecteerde versie. Hierdoor kan het de geheime zin stelen die wordt gebruikt om toegang te krijgen tot de cryptocurrency die is opgeslagen in de wallets.

De malware richt zich op macOS-versies 13.6 en hoger, wat duidt op een focus op gebruikers van nieuwere besturingssystemen, zowel op Intel- als op Apple Silicon-apparaten. Gecompromitteerde schijfafbeeldingen bevatten een "activator" en de gezochte applicatie. De activator, die op het eerste gezicht onschuldig lijkt, activeert de gecompromitteerde applicatie na het invoeren van het wachtwoord van de gebruiker.

De aanvallers gebruiken vooraf gecompromitteerde versies van de applicatie en manipuleren de uitvoerbare bestanden zodat ze niet werken totdat de gebruiker de activator uitvoert. Deze tactiek zorgt ervoor dat de gebruiker onbewust de gecompromitteerde applicatie activeert.

Na het patchen voert de malware zijn primaire payload uit door een DNS TXT-record te verkrijgen voor een kwaadaardig domein en daaruit een Python-script te decoderen. Het script draait eindeloos en probeert de volgende fase van de infectieketen te downloaden, die ook een Python-script is.

Het doel van de volgende payload is het uitvoeren van willekeurige commando's die van de server worden ontvangen. Hoewel er tijdens het onderzoek geen commando's werden ontvangen en de backdoor regelmatig werd bijgewerkt, is het duidelijk dat de malwarecampagne nog in ontwikkeling is. De code suggereert dat de commando's waarschijnlijk gecodeerde Python-scripts zijn.

Naast de genoemde functionaliteiten bevat het script twee opvallende functies waarbij het domein apple-analyzer[.]com betrokken is. Beide functies zijn bedoeld om te controleren op de aanwezigheid van cryptocurrency portemonnee-applicaties en deze te vervangen door versies die zijn gedownload van het opgegeven domein. Deze tactiek was gericht op zowel de Bitcoin- als de Exodus-wallet en veranderde deze applicaties in kwaadaardige entiteiten.

"De macOS-malware die gekoppeld is aan illegale software, benadrukt de ernstige risico's. Cybercriminelen gebruiken illegale apps om eenvoudig toegang te krijgen tot de computers van gebruikers en adminrechten te krijgen door hen te vragen het wachtwoord in te voeren. De makers tonen een ongewone creativiteit door een Python-script te verbergen in een DNS-serverrecord, waardoor de malware nog onzichtbaarder wordt in het netwerkverkeer. Gebruikers moeten extra voorzichtig zijn, vooral met hun cryptocurrency-wallets. Vermijd downloaden van verdachte sites en gebruik vertrouwde cybersecurity-oplossingen voor betere bescherming," zegt Sergey Puzan, security researcher  bij Kaspersky.

 

Meer informatie over deze Trojan kan je vinden op Securelist.com.

Nieuwe macOS-backdoor richt zich op cryptocurrency-wallets

Onderzoekers van Kaspersky hebben een onconventionele vorm van macOS-malware ontdekt. Deze voorheen onbekende familie van schadelijke software, die onopvallend wordt verspreid via illegale applicaties, richt zich op de cryptocurrency van macOS-gebruikers, die is opgeslagen in digitale portemonnees. In tegenstelling tot proxy trojans die Kaspersky eerder heeft gevonden, richt deze nieuwe dreiging zich op het aantasten ervan.
Kaspersky logo

Over Kaspersky

Kaspersky is een internationaal bedrijf dat is opgericht in 1997 en dat is gespecialiseerd in cyberbeveiliging en digitale privacy. Dankzij de uitgebreide bedreigingsintelligentie en beveiligingsexpertise van Kaspersky zijn tot nu toe meer dan een miljard apparaten beschermd tegen opkomende cyberbedreigingen en gerichte aanvallen. Kaspersky transformeert voortdurend haar innovatieve oplossingen en diensten om bedrijven, kritieke infrastructuren, overheden en consumenten wereldwijd te beschermen. Onder het allesomvattende beveiligingsportfolio van Kaspersky vallen toonaangevende endpointbescherming, gespecialiseerde beveiligingsproducten en diensten, evenals Cyber Immune-oplossingen waarmee geavanceerde en evoluerende digitale bedreigingen kunnen worden bestreden. We helpen meer dan 200.000 zakelijke klanten te beschermen wat het belangrijkste voor ze is. Meer informatie vind je op www.kaspersky.nl.

Verwant artikel Information