Pojavila se sofisticirana nova varijanta AMOS kradljivca macOS-a, koja demonstrira neviđene nivoe tehničke sofisticiranosti u svojim metodama distribucije i obfuskacije.
Maliciozni softver koristi GitHub repozitorije kao distribucijske platforme, iskorištavajući legitimnost platforme kako bi zaobišao sigurnosne mjere i ciljao na ništa ne sluteće korisnike macOS-a s mogućnostima krađe kriptovaluta.
Najnovija kampanja uključuje višeslojni lanac napada koji počinje sa malicioznim DMG datotekama smještenim na GitHub repozitorijima, posebno ciljajući korisnike koji traže legitimne aplikacije.
Maliciozni softver koristi napredne tehnike obfuskacije, uključujući više slojeva base64 kodiranja, XOR enkripciju i prilagođene alfabete kako bi izbjegao otkrivanje od strane tradicionalnih sigurnosnih rješenja.
Nakon izvršenja, kradljivac implementira i x64 i ARM64 verzije kako bi osigurao kompatibilnost između različitih Mac arhitektura.
Jason Reaves, istraživač malicioznog softvera u kompaniji Crimeware Threat Intel, specijalizovan za reverzni inženjering u Walmartu, identifikovao je ovu sofisticiranu kampanju prateći nedavne AMOS aktivnosti.
Njegova analiza je otkrila da uzorak malicioznog softvera 9f8c5612c6bfe7ab528190294a9d5eca9e7dec3a7131463477ae103aeec5703bpredstavlja značajnu evoluciju u mogućnostima prijetnje, uključujući napredne tehnike izbjegavanja koje ranije nisu viđene u kampanjama malicioznog softvera za macOS.
Vektor napada prvenstveno se fokusira na korisnike kriptovaluta novčanika, pri čemu se maliciozni softver maskira u legitimne aplikacije poput Ledger Live-a kako bi ukrao seed fraze i privatne ključeve.
Kampanja pokazuje izuzetnu upornost, pri čemu hakeri brzo uspostavljaju nove repozitorije kada sigurnosni timovi GitHub-a uklone prethodne.
.webp)
Ova dinamika mačke i miša ističe izazove s kojima se suočavaju pružaoci platformi u borbi protiv sofisticiranih hakera koji zloupotrebljavaju legitimne usluge u maliciozne svrhe.
Napredni mehanizmi za obfuskaciju i dekodiranje
Tehnička sofisticiranost ove AMOS varijante leži u njenom višestepenom procesu obfuskacije koji uključuje tri različita sloja dekodiranja.
Početni korisni teret sadrži obfusiranu shell skriptu koja se podvrgava base64 dekodiranju nakon čega slijede XOR operacije korištenjem čvrsto kodiranih ključeva.
Proces deobfuskacije otkriva AppleScript komponentu koja pretražuje montirane volumene koji sadrže “touchlock” prije izvršavanja primarnog korisnog tereta.
.webp)
Osnovni algoritam za dekodiranje implementira sofisticirani sistem od tri bloka gdje se blokovi podataka jednake veličine podvrgavaju matematičkim operacijama.
Algoritam obrađuje svaku dvostruku riječ (dword) putem oduzimanja i XOR operacija, kao što je prikazano u kodu za ekstrakciju: a = (a - d) & 0xffffffff; a ^= c.
Ovaj matematički pristup generiše prilagođenu base64 abecedu xtk1IbLCo9pQgDwBKNl_Pa*Z-J40zOiEr&5n8s=R!dAG%$<SF@#+)eT2hcH?ufVykoja se koristi za naknadno dekodiranje korisnog tereta.
Mehanizam perzistentnosti malicioznog softvera uključuje kopiranje .touchlockdatoteke u privremeni direktorij, uklanjanje proširenih atributa pomoću xattr -ci izvršavanje s povišenim dozvolama.
Komunikacije komandovanja i kontrole koriste više domena, uključujući heathlypet[.]com, isnimitz[.]com, i nekoliko IP adresa koje se protežu 45.94.47[.]136preko 85.192.49[.]118.
Ovaj pristup distribuisanoj infrastrukturi osigurava kontinuitet rada čak i kada su pojedinačni čvorovi kompromitovani ili isključeni iz mreže.
Izvor: CyberSecurityNews
