Эксперты Kaspersky обнаружили бэкдор для macOS, позволяющий красть валюту пользователей из криптокошельков.
Сообщается, что вредоносное ПО распространяется в составе взломанных программ. "Судя по найденным образцам, злоумышленники целятся только в пользователей новых операционных систем - от macOS 13.6 и выше", - отмечают в компании.
Зловред примечателен по двум параметрам: во-первых, нестандартным способом доставки своего вредоносного скрипта на Python и сокрытия активности в сетевом трафике с помощью TXT-записей. Во-вторых, он не просто крадет криптокошельки, а заменяет приложение кошелька своей собственной зараженной версией. Это позволяет злоумышленникам украсть секретную фразу, используемую для доступа к криптовалюте, хранящейся в кошельках.
Пользователь скачивает пиратскую программу в виде образа диска, в котором содержится само приложение и "Активатор". Чтобы программа начала работать, её якобы нужно взломать. Для этого нужно скопировать приложение в папку /Applications/, запустить "Активатор", нажав кнопку "PATCH", и ввести пароль администратора. После выполнения этих шагов программа действительно становится рабочей. Нюанс в том, что приложение и так было взломано: злоумышленники добавляют несколько байт в начало исполняемого файла, делая его нерабочим, чтобы вынудить пользователя запустить "Активатор" и получить привилегии администратора.
После "патчинга" зловред связывается с DNS-сервером в попытке получить TXT-записи, ассоциированные с вредоносным доменом. В этих записях в зашифрованном виде хранится Python-скрипт, который раз в 30 секунд обращается к другому вредоносному серверу, чтобы загрузить и выполнить финальную вредоносную нагрузку в виде еще одного Python-скрипта. Раз в 30 секунд он обращается к серверу, чтобы загрузить и выполнить уже следующий скрипт. Экспертам Kaspersky удалось получить его образец. Выяснилось, что основная задача скрипта — выполнять произвольные команды, получаемые с контрольного сервера. Также он собирает и передаёт на сервер сведения о версии операционной системы, списке установленных приложений, типе процессора и другую информацию.
Одна из функций бэкдора - подмена приложений криптокошельков. Зловред проверяет, есть ли на устройстве приложения криптокошельков (Exodus и Bitcoin), а затем подменяет их на заражённые версии. Благодаря этому у атакующих появляется возможность перехватывать seed-фразы (в случае с кошельком Exodus) или пароль для разблокировки кошелька и сам кошелек (в случае с Bitcoin), а в итоге - украсть и сам криптокошелёк.