安全研究人员发现了一种新的、以前未知的macOS恶意软件,它利用盗版软件渗透用户系统。
根据卡巴斯基的一份新报告,这种恶意软件与未经授权的代理服务器安装不同,其方法非常复杂。
恶意行为者将预先破解的应用程序重新打包为PKG文件,在盗版网站上传播的应用程序中嵌入特洛伊木马代理和安装后脚本。该恶意软件针对的是macOS Ventura 13.6及更新版本,在英特尔处理器和苹果芯片机器上都能运行。
该恶意软件名为Activator,显示了一个带有补丁按钮的看似简单的GUI。但是,仔细检查就会发现在Resources文件夹中有一个Python 3.9.6安装程序和一个名为tool的额外Mach-O文件。Activator使用了一个过时的函数AuthorizationExecuteWithPrivileges来获得管理员权限。这最终启用了执行一个Python脚本来修补下载的应用程序。
恶意软件的第二阶段涉及通过向包含加密脚本的TXT记录发出DNS请求来接触命令和控制(C2)服务器。解密后的脚本由一个工具执行,显示了杀死NotificationCenter进程和安装启动代理以持久执行等功能。
恶意软件的第三阶段暴露了一个与C2服务器通信的后门,发送有关受感染系统、已安装应用程序等的信息。卡巴斯基澄清说,虽然服务器在调查期间没有发出命令,但它暗示了恶意软件活动的持续发展。
最后,恶意软件的第四阶段公布了一个加密窃取组件,将合法的加密货币钱包替换为受感染的版本。恶意软件操作者在Exodus和Bitcoin-Qt等应用程序中嵌入恶意代码,窃取用户的钱包信息。
根据卡巴斯基安全研究员谢尔盖·普赞(Sergey Puzan)的说法,这一发现强调了使用被破解应用程序的用户的易感性。
网络犯罪分子使用盗版应用程序轻松访问用户的计算机,并通过要求用户输入密码来获得管理员权限。创建者将Python脚本隐藏在DNS服务器的记录中,增加了恶意软件在网络流量中的隐身程度,这显示了不同寻常的创造力。
为了防范这种潜在的威胁,用户应该提高警惕,特别是对他们的加密货币钱包,不要从可疑网站下载内容,并选择可靠的网络安全解决方案,以加强整体保护。
