На прошлой неделе исследователи «Лаборатории Касперского» опубликовали подробный разбор вредоносной программы для компьютеров Apple. Это свежее семейство распространяется вместе с пиратскими дистрибутивами популярных программ и, помимо прочего, крадёт криптокошельки жертв.
Проанализированный экспертами сэмпл запускается на свежих версиях Mac OS от 13.6 и выше, поддерживает компьютеры как на базе процессоров Intel, так и на Apple Silicon. Окно установщика загруженной пиратской версии программы выглядит так:
Пользователю предлагают установить дистрибутив программы, которая ему необходима, в данном случае это приложение Xscope. Также предлагается инсталлировать некий «Активатор», который взломает приложение.
Первая особенность такого вредоносного набора: в комплекте поставляется уже взломанная версия легитимного ПО, которая работала бы без всяких активаторов. Однако в начале исполняемого файла дописаны 16 байт мусорных данных, и это делает его неработоспособным. Всё, что делает «Активатор», — удаляет эти лишние 16 байт, делая возможным запуск приложения. К сожалению, на этом деятельность вредоносной программы не заканчивается.
С точки зрения пользователя, собравшегося сэкономить на покупке легального ПО, всё выглядит достаточно логично. В инсталляторе устанавливается программа и некий «кряк» для неё. Далее «Активатор» запускается и требует пароль пользователя:
После ввода пароля и нажатия кнопки Patch «Активатор» восстанавливает работоспособность пиратской программы, записывает в папку tmp дистрибутив Python3, который необходим для дальнейшей работы, и запускает код для связи с командным сервером (C2).
Связь с ним реализована достаточно необычным образом. Из набора строк, зашитых в коде, собирается URL, по которому запрашивается DNS-запись типа TXT. Данная запись содержит зашифрованный скрипт на языке Python, а он в свою очередь загружает и запускает следующую стадию вредоносного кода. Параллельно блокируются системные уведомления, а вредоносный скрипт прописывается в автозапуск.
Исследователи, скорее всего, «поймали» разработчиков вредоносной программы прямо во время отладки: командный сервер отвечал с перебоями, а отдаваемый по запросу код менялся так, что это нельзя было списать только на работу какой-то автоматики, призванной, например, усложнить детектирование.
После установления связи с командным сервером тот может передать и выполнить на заражённом компьютере любые команды. На сервер злоумышленников также отправляется подробная информация о системе — листинг папок в директории Users, список установленных приложений, IP-адрес, тип процессора и так далее.
В финальном вредоносном скрипте также была замечена возможность детектирования двух криптокошельков — Exodus и Bitcoin Core. При обнаружении приложения Exodus с командного сервера загружается его модифицированная версия, которая крадёт данные для доступа к кошельку. Аналогичным образом происходит кража средств в биткоинах.
Это, естественно, не первый и не последний пример распространения вредоносного кода вместе с пиратским программным обеспечением. В прошлом году исследователи «Лаборатории Касперского» уже писали о похожей троянской программе для Mac OS. В ней также применялся метод, который затрудняет детектирование подозрительной активности путём анализа трафика, но немного другой. Вместо загрузки зашифрованных DNS-записей типа TXT применялся запрос типа DNS-over-HTTPS. Загрузка пиратского программного обеспечения из сомнительных источников по-прежнему чревата потерей данных и денег.
Материалы: Блог компании «Лаборатория Касперского»