Cyberkriminalität erreicht eine neue Dimension: Hacker verbreiten über Torrent-Seiten gefährliche Trojaner, die es gezielt auf Krypto-Wallets abgesehen haben.
Diese besorgniserregende Entwicklung zeigt, wie ausgeklügelt und zielgerichtet Cyberangriffe mittlerweile sind. Die Angreifer nutzen die Anonymität und Popularität von Torrent-Seiten, um ihre Schadsoftware zu verbreiten. Die als PKG-Datei getarnte infizierte Software richtet sich speziell gegen macOS-Nutzer ab Version Ventura 13.6. Diese gezielte Ausrichtung zeigt, dass die Angreifer sehr genau wissen, welche Systeme sie angreifen wollen.
Der Angriffsmechanismus
Im Zentrum des betrügerischen Szenarios steht eine kompromittierte Datei, die ein täuschend echtes Programm namens „Activator“ sowie die vom Benutzer gewünschte Anwendung enthält.
Die Falle schnappt zu, wenn das Opfer die Malware herunterlädt und im Ordner „/Applications/“ ablegt. Es erscheint ein gefälschtes Aktivierungsfenster, das nach dem Administrator-Passwort fragt. Sobald das Passwort eingegeben wurde, prüft die Malware, ob Python 3 vorhanden ist und lädt es gegebenenfalls herunter. Für das Opfer erscheint alles normal, es sieht aus wie ein normaler App-Patching-Prozess.
Die Täuschung ist perfekt: Die Hacker verwenden bereits gepatchte Versionen von Anwendungen und fügen nur wenige Bytes hinzu, um diese vorübergehend zu deaktivieren. Sobald der Benutzer die Anwendung startet, scheint alles normal und funktionsfähig zu sein.
Die Rolle des Command-and-Control-Servers
Das Raffinierte an dieser Malware ist die Art und Weise, wie sie mit einem Command-and-Control-Server (C2) kommuniziert. Die Malware kontaktiert den Server über die täuschend echt aussehende Website „apple-health[.]org“ und ruft ein Base64-kodiertes Python-Skript auf. Dieses Skript kann beliebige Befehle auf dem infizierten Gerät ausführen. Die Angreifer tarnen ihre Aktivitäten im Netzwerkverkehr, indem sie das Python-Skript als harmlose TXT-Datei ausgeben.
Ziel des Angriffs über Torrent-Seiten
Die heruntergeladenen Skripte dienen als Downloader für weitere Skripte, die Backdoor-Zugang bieten und Informationen über das infizierte System sammeln. Interessanterweise ändern sich die Metadaten der Backdoor-Skripte regelmäßig, was darauf hindeutet, dass die Malware-Kampagne immer noch aktiv ist und sich weiterentwickelt.
Das beunruhigendste Element dieser Malware ist ihre Fähigkeit, Bitcoin Core und Exodus Wallets zu erkennen. Sobald die Malware diese Wallets gefunden hat, ersetzt sie sie durch gefälschte Kopien und übermittelt kritische Informationen wie Seed-Phrase, Passwort, Name und Kontostand an den C2-Server des Angreifers. Dies ermöglicht den Hackern, den Inhalt der Wallets zu stehlen.
Fazit
Dieser Vorfall unterstreicht die Notwendigkeit für Nutzer, beim Herunterladen von Software aus nicht verifizierten Quellen, insbesondere von Torrent-Seiten, besonders vorsichtig zu sein. Er zeigt auch, wie wichtig es ist, regelmäßige Sicherheitsüberprüfungen durchzuführen und auf dem neuesten Stand der Sicherheitstechnologie zu bleiben.
Quelle: Netzwoche, Securelist / Kaspersky
Für weitere Informationen und Unterstützung empfehlen wir, sich für den Mimikama-Newsletter anzumelden. Außerdem bieten wir regelmäßig interessante Online-Vorträge und Workshops an. – Schauen Sie vorbei.
Das könnte Sie auch interessieren:
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)