Τα έχουμε πει πολλές φορές! Η δωρεάν λήψη πειρατικών προγραμμάτων μπορεί να φέρει πολλούς κινδύνους, όπως τη μόλυνση από malware. Ερευνητές της Kaspersky ανακάλυψαν ένα ευρέως διαδεδομένο macOS malware, που στοχεύει χρήστες που κατεβάζουν πειρατικά αντίγραφα νόμιμων λογισμικών. Η καμπάνια έχει ονομαστεί macOS.Bkdr.Activator.
Το malware κρύβεται σε διάφορες εφαρμογές, που είναι ειδικά σχεδιασμένες για επιχειρηματικούς σκοπούς και ενίσχυση της παραγωγικότητας. Αυτές οι εφαρμογές θα μπορούσαν ενδεχομένως να είναι πολύ ελκυστικές.
Δείτε επίσης: Πειρατικές εφαρμογές macOS, αποστραγγίζουν τα πορτοφόλια των χρηστών
Ας δούμε πιο αναλυτικά τον τρόπο μόλυνσης:
Στάδιο 1: Το κακόβουλο λογισμικό κρύβεται σε πειρατικές εφαρμογές
Η αρχική μέθοδος παράδοσης είναι μέσω ενός torrent link που εξυπηρετεί ένα disk image που περιέχει δύο εφαρμογές: Ένα φαινομενικά “uncracked” app που δείχνει ότι δεν μπορεί να χρησιμοποιηθεί το πρόγραμμα και ένα “Activator” app που διορθώνει το λογισμικό για να το κάνει χρησιμοποιήσιμο. Οι χρήστες λαμβάνουν οδηγίες να αντιγράψουν και τα δύο στοιχεία στο φάκελο /Applications πριν ξεκινήσουν το πρόγραμμα Activator.
Στάδιο 2: Ενεργοποίηση του Backdoor malware
Το Activator app ζητά τον κωδικό πρόσβασης διαχειριστή.
Αν οι χρήστες πέσουν στην παγίδα και δώσουν τον κωδικό, το malware αρχίζει την πραγματική του δράση, που περιλαμβάνει:
- Απενεργοποίηση του Gatekeeper: Με αυτόν τον τρόπο παρακάμπτεται αυτό το μέτρο προστασίας του macOS και επιτρέπεται η εκτέλεση οποιασδήποτε εφαρμογής.
- Εγκατάσταση Python: Εάν απουσιάζει, δημιουργεί ένα εργαλείο για περαιτέρω κακόβουλες δραστηριότητες.
- Σίγαση Notification Center: Το malware προχωρά σε σίγαση πιθανών προειδοποιήσεων ασφαλείας που θα μπορούσαν να προδώσουν τις κακόβουλες δραστηριότητες.
- Εγκατάσταση ενός LaunchAgent: Αυτό το persistent malware διασφαλίζει την επιβίωσή του στο macOS σύστημα.
Δείτε επίσης: MacOS info-stealer malware αποφεύγουν την ανίχνευση από το XProtect
Στάδιο 3: Περαιτέρω κακόβουλες ενέργειες
Το κακόβουλο λογισμικό κάνει και άλλα πράγματα:
- Επικοινωνία με έναν απομακρυσμένο διακομιστή: Ανακτά οδηγίες για το πώς να προχωρήσει (πιθανώς και πρόσθετο κακόβουλο λογισμικό).
- Έλεγχοι για προηγούμενες μολύνσεις: Αποφεύγει περιττές ενέργειες, εάν έχει ήδη γίνει κάποια μόλυνση.
- Εκτελεί scripts: Αυτά τα scripts θα μπορούσαν να κάνουν οτιδήποτε, από την κλοπή δεδομένων έως τη μετατροπή ενός Mac σε bot.
Σύμφωνα με ερευνητές της SentinelOne, η καμπάνια βρίσκεται σε εξέλιξη και εντοπίζονται νέα κακόβουλα δείγματα.
Τα παραπάνω δείχνουν ότι όλο και περισσότεροι κυβερνοεγκληματίες δημιουργούν macOS malware που είναι ανθεκτικά στην ανίχνευση και παρακάμπτουν συστήματα ασφαλείας των συσκευών.
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Δείτε επίσης: Atomic Stealer: Νέα έκδοση του malware στοχεύει macOS
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν MacOS info-stealer.
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα.
Η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Τέλος, η αποφυγή λήψης εφαρμογών από μη αξιόπιστες πηγές και λήψης πειρατικών προγραμμάτων είναι σημαντική, γιατί είναι πιθανό κρύβουν malware, όπως στην περίπτωση του macOS.Bkdr.Activator.
Πηγή: cybersecuritynews.com
