Ερευνητές ασφαλείας εντόπισαν ένα νέο εργαλείο, το οποίο έχει σχεδιαστεί από hackers της Βόρειας Κορέας και μοιάζει με μια νόμιμη browser-based εφαρμογή βιντεοκλήσεων (MiroTalk). Το κακόβουλο αυτό εργαλείο στοχεύει στην κλοπή πληροφοριών από μολυσμένα μηχανήματα και φαίνεται να σχετίζεται με ένα παλιότερο macOS malware, γνωστό ως BeaverTail.
Το εργαλείο μεταφορτώθηκε πρόσφατα στην υπηρεσία VirusTotal και είναι ενσωματωμένο σε ένα macOS disk image που μιμείται τη νόμιμη υπηρεσία MiroTalk. Το αρχείο φιλοξενήθηκε σε έναν ιστότοπο που παρουσιάζεται ως ο νόμιμος ιστότοπος του MiroTalk (ο κακόβουλος είναι εκτός σύνδεσης αυτήν τη στιγμή). Ο ερευνητής ασφάλειας, Patrick Wardle, ανέλυσε το αρχείο και διαπίστωσε ότι είναι πιθανώς μια παραλλαγή του παλαιότερου BeaverTail malware. Αυτό το κακόβουλο λογισμικό ανακαλύφθηκε από ερευνητές της Palo Alto Networks τον Νοέμβριο. Το BeaverTail βασίζεται σε Java-Script, ενώ η νεότερη έκδοση είναι εγγενές εκτελέσιμο Mach-O. Ωστόσο, ο Wardle παρατήρησε ομοιότητες ανάμεσά τους, ενώ και τα δύο επικοινωνούν με τα ίδια τελικά σημεία API.
Δείτε επίσης: Βορειοκορεάτες hackers συνδυάζουν macOS malware τακτικές για να αποφύγουν τον εντοπισμό
Πώς γίνεται η επίθεση;
Το MiroTalk είναι μια δωρεάν υπηρεσία βιντεοκλήσεων, που βασίζεται στο πρόγραμμα περιήγησης. Δεν απαιτείται λήψη εφαρμογής. Το BeaverTail malware είναι ένα info-stealer malware και οι hackers της Βόρειας Κορέας το έχουν ήδη χρησιμοποιήσει σε διάφορες εκστρατείες. Οι εκστρατείες συνήθως δελεάζουν τα θύματα με πιθανές συνεντεύξεις για δουλειά ή άλλα θέματα που σχετίζονται με υποτιθέμενες προσλήψεις. Μόλις εγκατασταθεί σε ένα νέο μηχάνημα, το BeaverTail malware εκτελεί μερικούς βασικούς ελέγχους και στη συνέχεια κατεβάζει ένα δευτερεύον εργαλείο που ονομάζεται InvisibleFerret.
“Ως info-stealer malware, το BeaverTail στοχεύει cryptocurrency wallets και πληροφορίες πιστωτικών καρτών που είναι αποθηκευμένες στα προγράμματα περιήγησης ιστού του θύματος. Ως loader, το BeaverTail ανακτά και εκτελεί το malware επόμενου σταδίου, το InvisibleFerret“, αναφέρουν οι ερευνητές της Palo Alto.
Δείτε επίσης: Νέα παραλλαγή του XLoader macOS Malware μεταμφιέζεται ως OfficeNote app
Η νεότερη έκδοση του BeaverTail, που ανέλυσε ο Wardle, παρουσιάζει παρόμοια συμπεριφορά. Το InvisibleFerret είναι ένα backdoor γραμμένο σε Python που περιλαμβάνει τις κύριες κακόβουλες δυνατότητες, συμπεριλαμβανομένης της καταγραφής πληκτρολογήσεων και της εξαγωγής δεδομένων.
“Από τις ενσωματωμένες συμβολοσειρές, βλέπουμε τόσο τη διεύθυνση του πιθανού command & control server, 95.164.17.24:1224, όσο και υποδείξεις σχετικά με τον τύπο των πληροφοριών που συλλέγει το κακόβουλο λογισμικό. Συγκεκριμένα, browser extension IDs δημοφιλών crypto-currency wallets, διαδρομές προς τα δεδομένα των προγραμμάτων περιήγησης χρηστών και macOS keychain. Άλλες συμβολοσειρές σχετίζονται με τη λήψη και την εκτέλεση πρόσθετων payloads που φαίνεται να είναι κακόβουλα python scripts“, είπε ο ερευνητής.
Δείτε επίσης: Atomic info-stealer: Προσοχή! Νέο macOS malware
Προστασία από macOS malware
Η Apple προσφέρει κάποιες ενσωματωμένες δυνατότητες ασφαλείας, όπως το Gatekeeper και το XProtect για την πρόληψη κάποιας μόλυνσης.
Αλλά υπάρχουν και κάποιες άλλες μέθοδοι προστασίας:
- Διατηρήστε το λειτουργικό σας σύστημα και το λογισμικό σας ενημερωμένα για να επιδιορθώσετε τυχόν γνωστά τρωτά σημεία
- Να είστε προσεκτικοί κατά τη λήψη και το άνοιγμα συνημμένων ή αρχείων από άγνωστες πηγές
- Χρησιμοποιήστε ένα αξιόπιστο λογισμικό προστασίας από ιούς, ειδικά εάν κάνετε συχνά λήψη αρχείων από το Διαδίκτυο
- Ενεργοποιήστε το FileVault, το οποίο κρυπτογραφεί τα δεδομένα σας και τα προστατεύει σε περίπτωση κλοπής ή μη εξουσιοδοτημένης πρόσβασης
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών αρχείων σας σε έναν εξωτερικό σκληρό δίσκο
Πηγή: duo.com
