Καθώς το μερίδιο αγοράς των υπολογιστών Mac που βασίζονται σε επεξεργαστές αρχιτεκτονικής ARM αυξάνεται, το ίδιο συμβαίνει και με τις απειλές ή τις απόπειρες παραβίασης και κλοπής προσωπικών δεδομένων από κυβερνοεγκληματίες και ομάδες hacking.

Η πρόσφατη ακολουθία απειλών που ανακαλύφθηκε πρόσφατα δείχνει ότι οι κυβερνοεγκληματίες, οι απατεώνες και διάφορες ομάδες από hackers έχουν αρχίσει να στρέφουν τη προσοχή τους προς το οικοσύστημα Mac της Apple. Μία από τις πρόσφατες απειλές κακόβουλου λογισμικού που ονομάστηκε «RustBucket» ανακαλύφθηκε από την Jamf Threat Labs και η λειτουργία της δεν διαφέρει εκ πρώτης όψης από εκείνη ενός απλού προγράμματος προβολής PDF.

Η εφαρμογή δεν κάνει κάτι αξιοσημείωτο ή κακόβουλο μέχρι ο χρήστης να ανοίξει ένα συγκεκριμένο PDF που περιλαμβάνει ένα κωδικοποιημένο κλειδί που ενεργοποιεί μια σύνδεση μεταξύ του διακομιστή του κυβερνοεγκληματία και του υπολογιστή Mac του θύματος και προετοιμάζοντας για κατέβασμα ένα μικρό κακόβουλο φορτίο. Το φορτίο στη συνέχεια αρχίζει να εκτελεί εντολές recon για τον προσδιορισμό παθητικών πληροφοριών σχετικών με τον στόχο και στη συνέχεια κατεβάζει ένα φορτίο τρίτου σταδίου που δίνει στους εισβολείς περαιτέρω πρόσβαση στο λειτουργικό σύστημα.

bluenorof-rustbucket-malware-04_1.jpg

Όλα τα στάδια μετά το άνοιγμα του PDF από τον χρήστη εκτελούνται σιωπηλά στο παρασκήνιο. Το πρόγραμμα προβολής PDF που χρησιμοποιείται ως καταλύτης για το συγκεκριμένο hack απαιτεί τη χειροκίνητη παράκαμψη του Gatekeeper της Apple καθώς δεν φέρει υπογραφή, επομένως το προφανές βήμα για τον μετριασμό αυτής της επίθεσης είναι να μην χρησιμοποιείτε εφαρμογές ή υπηρεσίες τρίτων εκτός από αυτές που επιμελούνται και ελέγχουν οι μηχανικοί της Apple στο επίσημο κατάστημα εφαρμογών της εταιρείας.

Το δεύτερο κακόβουλο λογισμικό που ανακαλύφθηκε την περασμένη εβδομάδα για το macOS έγινε γνωστό από την εταιρεία Cyble Research and Intelligence Labs (CRIL) και είναι διαθέσιμο για κατέβασμα έναντι συνδρομής $1.000 το μήνα σε ένα κανάλι Telegram. Το κακόβουλο λογισμικό ονομάζεται «Atomic macOS Stealer» ή «AMOS» και εξαιτίας της χαμηλής σχετικά τιμής του, θα φανεί ιδιαίτερα χρήσιμο σε πολλές κυβερνοεγκληματικές οργανώσεις.

Η σημαντικότερη δυνατότητα του συγκεκριμένου malware είναι η υποκλοπή κωδικών πρόσβασης, πληροφοριών συστήματος, αρχείων από τους φακέλους της επιφάνειας εργασίας και των εγγράφων, τον κωδικό πρόσβασης του χρήστη του συστήματος macOS, τα auto-fills για τον browser και τους κωδικούς πρόσβασης, τα cookies, πορτοφόλια και αποθηκευμένες πληροφορίες πιστωτικών καρτών κ.ά.

Figure-1-Telegram-Post-by-Malware-Developer.webp

Το κακόβουλο λογισμικό σύμφωνα με την Cyble Research & Intelligent Labs έχει προσαρμοστεί κατάλληλα για να αναζητά πορτοφόλια κρυπτονομισμάτων με την εταιρεία μάλιστα να αναφέρει τα παραδείγματα των Electrum, Binance, Exodus, Atomic και Coinomi.

Η Cyble Research & Intelligent Labs επισημαίνει ότι γνωρίζει ότι το κακόβουλο λογισμικό αναπτύσσεται ενεργά για την βελτίωση των δυνατοτήτων του και πως οι δημιουργοί του προσφέρουν ακόμη και λογισμικό διαχείρισης και κονσόλες Ιστού για την παρακολούθηση των μηχανημάτων των θυμάτων, όλα με σύστημα καταγραφής που μεταφέρεται στο Telegram. Η επίθεση πραγματοποιείται μέσω ενός απλού αρχείου με την ονομασία Golang.dmg που εγκαθιστά το κακόβουλο λογισμικό. Μόλις εγκατασταθεί, το «Atomic macOS Stealer» κάνει τη δουλειά του στο παρασκήνιο χωρίς να εντοπιστεί και στέλνει ένα συμπιεσμένο αρχείο στον διακομιστή του εισβολέα με όλες τις πληροφορίες που έχει συλλέξει.

  • Sad 1