Tokom rutinskog istraživanja, stručnjaci za cyber sigurnost na Hunt.io otkrili su phishing lokaciju koja se maskirala kao theunarchiver[.]com. Ova stranica nudi upitnu sliku diska (TheUnarchiver.dmg).
Jedina razlika između ove web stranice i prave je promijenjeno dugme za preuzimanje i naziv domene (tneunarchiver[.]com).
macOS malware maskiranje kao unarchiver
Uprkos niskim rizičnim rezultatima iz Hatching Triage (1/10) i bez otkrivanja na VirusTotal-u, postoji znatna sumnja zbog obmanjujućeg domena i kopirane web stranice.
Lažna web stranica koja oponaša aplikaciju Unarchiver (izvor – Hunt.io)
Dok su prethodni pokušaji ove vrste koristili slične taktike izdavanja originalnih softverskih programa putem phishinga , takve situacije zahtijevaju pažljivu procjenu.
Shodno tome, mora se izvršiti sveobuhvatna analiza slike diska kako bi se otkrile sve moguće naknadne zlonamjerne radnje koje možda nisu očigledne tokom inicijalnih procesa skeniranja jer bi umjetno niske ocjene mogle biti rezultat grešaka u izvršenju ili mogu dovesti u zabludu.
Provjera informacija o potpisu za TheUnarchiver.dmg pomoću alata ‘WhatsYourSign’ Patricka Wardlea (Izvor – Hunt.io)
Mašinski kod dizajniran za ARM i Intel arhitekturu otkriven je unutar nepotpisane slike diska prisutnoj u sumnjivoj „CryptoTrade“ macOS datoteci.
WhatsYourSign rezultat za datoteku CryptoTrade (Izvor – Hunt.io)
Sastavljen je koristeći Swift jezik; Ad-hoc potpisivanje je urađeno tokom njegovog kreiranja na macOS 14.5 (maj 2024.).
Dok ispitivanje njegovog sadržaja, uključujući datoteku Info.plist i dijeljene biblioteke, ukazuje na zlonamjernu namjeru.
sadržaj dmg datoteke nakon montiranja pomoću hdiutil (izvor – Hunt.io)
Obmanjujući procesi instalacije mogu se zaključiti iz prisustva kodova koji se vjerovatno koriste za hvatanje korisničkih lozinki.
Jedan URL pronađen u izlazu stringova (https://cryptomac[.]dev/download/grabber.zip) ukazuje da bi moglo biti dostupno više zlonamjernog softvera.
Datoteka “grabber.zip”, koju VirusTotal nije otkrio , sadrži 10 shell skripti dizajniranih za krađu korisničkih informacija.
Glavna skripta postavlja direktorij u folderu Biblioteka korisnika, prikuplja IP informacije i izvršava različite skripte za preuzimanje podataka.
Ukradeni podaci se zatim komprimiraju i šalju na udaljeni server. Značajne karakteristike uključuju ruske komentare u jednoj skripti, sugerirajući porijeklo malvera.
Ovaj macOS-ciljani kradljivac, sličan Amosu i Poseidonu, oponaša aplikaciju Unarchiver, koristi Swift i eksfiltrira podatke na uobičajenu URL putanju (/api/index.php), ali ostaje neotkriven od strane proizvođača sigurnosti.
IzvorCybersecurityNews