黑客正通过隐藏恶意脚本的DNS记录,向macOS用户传递信息窃取恶意软件。该活动似乎针对 macOS Ventura 及更高版本的用户,并依赖重新打包为包含木马的 PKG 文件的破解应用程序。
![攻击详情](http://dingyue.ws.126.net/2024/0205/9d287e9dj00s8dcyd000sd200u0004ug00gx002q.jpg)
研究人员发现分析了感染链的各个阶段。受害者按照安装说明将其放入 /Applications/ 文件夹后下载并执行。其实,这是打开了一个伪造的激活器窗口,要求输入管理员密码。
![](http://dingyue.ws.126.net/2024/0205/3c58b49cj00s8dcye0054d200u000deg00gx007j.jpg)
激活器窗口和密码提示
获得许可后,恶意软件会通过“AuthorizationExecuteWithPrivileges”函数运行“工具”可执行文件 (Mach-O),然后检查系统上是否有 Python 3,如果不存在则安装它,使该过程看起来像“应用程序修补”。
接下来,恶意软件会联系其命令和控制 (C2) 服务器(位于一个名为“ apple-health[.]org ”的欺骗性站点),以获取可在受攻击设备上运行任意命令的 base64 编码的 Python 脚本。
研究人员发现,攻击者使用了一种有趣的方法来通过正确的 URL 联系 C2 服务器:选取两个硬编码列表的单词和五个字母的随机序列作为三级域名。通过此 URL,样本向 DNS 服务器发出请求,试图获取该域的 TXT 记录”
通过使用这种方法,攻击者能够将其活动隐藏在流量中,并从 DNS 服务器下载伪装成 TXT 记录的 Python 脚本有效负载,并会显示为正常请求。
来自 DNS 服务器的回复包含三个 TXT 记录,每个记录都是包含 Python 脚本的 AES 加密消息的 Base64 编码片段。
![](http://dingyue.ws.126.net/2024/0205/f95e8071j00s8dcyf0048d200u000edg00gx0083.jpg)
Python 脚本负载隐藏在加密消息中
此初始 Python 脚本充当另一个 Python 脚本的下载程序,该脚本提供后门访问、收集和传输有关受感染系统的信息,例如操作系统版本、目录列表、已安装的应用程序、CPU 类型和外部 IP 地址。
“工具”可执行文件还会修改“/Library/LaunchAgents/launched.
研究人员指出,在检查过程中,C2 返回了后门脚本的升级版本,持续开发,但没有观察到命令执行。
下载的脚本还包含两个函数,用于检查受感染系统是否存在 Bitcoin Core 和 Exodus 钱包;如果找到,它会将它们替换为从“apple-analyzer[.]com”下载的后门副本。
![](http://dingyue.ws.126.net/2024/0205/03de22c7j00s8dcyh00dnd200u000pag00gx00e9.jpg)
获取系带钱包应用程序
系带钱包包含将助记词、密码、名称和余额发送到攻击者的 C2 服务器的代码。
![](http://dingyue.ws.126.net/2024/0205/6e913038j00s8dcyj009pd200na00sgg00gx00ko.jpg)
从受害者那里窃取的数据
当钱包应用程序意外,提示重新输入钱包详细信息时,就会面临钱包被掏空的风险。
研究人员表示,用于此次活动的破解应用程序(在他们的报告中作为妥协指标)“是威胁分子访问用户计算机的最简单方法之一”。
尽管使用破解的应用程序欺骗用户来传播恶意软件,是一种常见的攻击途径,但相关分析的活动表明,攻击者可以巧妙地想出新的方法来传播有效负载,例如将其隐藏在域 TXT 记录中的DNS 服务器内。
参考及来源:https://www.bleepingcomputer.com/news/security/cracked-macos-apps-drain-wallets-using-scripts-fetched-from-dns-records/
热门跟贴