Infostealer stellen weiterhin eine Bedrohung für macOS Nutzer*innen dar
Jamf Threat Labs analysiert die aktuellen Infostealer-Angriffe auf macOS Benutzer*innen. Jeder hat andere Methoden, um die Macs der Opfer zu kompromittieren, aber ähnliche Ziele: den Diebstahl sensibler Benutzerdaten.
Die Autor*innen: Jaron Bradley, Ferdous Saljooki, Maggie Zirnhelt
Einführung
Im vergangenen Jahr war die macOS Umgebung ständigen Angriffen von Infodieben ausgesetzt. Viele dieser Diebe haben es auf Personen abgesehen, die in der Krypto-Branche tätig sind, und versuchen, Anmeldeinformationen und Daten aus verschiedenen Krypto-Wallets zu erbeuten. Jamf Threat Labs hat eine kreative Entwicklung bei den Strategien und Taktiken beobachtet, mit denen diese Angreifer*innen Benutzer*innen angreifen und ihre Daten stehlen.
Threat Labs hat in letzter Zeit zwei Angriffe verfolgt, bei denen solche Stealer auf den Systemen der Opfer abgelegt wurden.
Laufende Angriffe
Angriff 1 - Atomic Stealer verbreitet sich über gesponserte Werbung
Auf der Suche nach „Arc Browser“ bei Google wurden wir darauf aufmerksam gemacht, dass das gesponserte Ergebnis für den scheinbar legitimen Arc-Webbrowser in Wirklichkeit zu einer bösartigen Website aricl[.]net führt, die den legitimen arc.net imitiert.
Wir waren nicht die einzigen, denen diese Merkwürdigkeit aufgefallen ist. Auch die Nutzer*innen auf Reddit kamen zu demselben Ergebnis. Interessanterweise kann die bösartige Website nicht direkt aufgerufen werden, da sie einen Fehler zurückgibt. Sie kann nur über einen generierten, gesponserten Link aufgerufen werden, vermutlich um die Entdeckung zu umgehen.
Nachfolgend sehen Sie ein Bild der bösartigen aricl[.]net-Website, von der das Opfer die bösartige Appherunterlädt. In einigen Fällen führt der gesponserte Link auch zu einer identischen bösartigen Website mit der Adresse airci[.]net.
Die DMG ist ad-hoc signiert und enthält Anweisungen, die App mit der rechten Maustaste anzuklicken und „Öffnen“ auszuwählen, wodurch alle Gatekeeper-Warnungen außer Kraft gesetzt werden.
Ähnlich wie frühere Varianten von Atomic Stealer enthält er nur minimale Zeichenketten, da die meisten von ihnen xor-kodiert sind, um eine Entdeckung zu vermeiden, was eine gängige Technik zur Umgehung statischer Signaturen ist.
Diese Variante von Atomic stealer ruft eine Funktion namens bewta()
auf, die verschiedene Bytes mit dem hartkodierten Xor-Schlüssel 0x91
de-xoriert. Der system()-Funktionsaufruf wird dann aufgerufen, um AppleScript Payloads auszuführen, die zum Informationsdiebstahl verwendet werden. Einige der anderen Funktionen, die zum Stehlen von Vermögenswerten verwendet werden, sind unten aufgeführt:
Das Auslesen von Klartextpasswörtern aus dem Schlüsselbund erfordert das macOS Passwort des Benutzers/der Benutzerin. Die Entwickler*innen von Infostealern haben längst erkannt, dass es am einfachsten ist, den Benutzer/die Benutzerin nach seinem Kennwort zu fragen. Wir sehen eine Eingabeaufforderung, die durch einen Aufruf von AppleScript erzeugt wird.
Wenn Sie die gesamte ausführbare Datei entschlüsseln, werden viele Zeichenfolgen aufgedeckt, die mit den Fähigkeiten des Stealers zusammenhängen, wie z. B. der folgende AppleScript Befehl.
Das meiste Verhalten von Atomic Stealer ist bereits gut dokumentiert, und wir haben hier keine wesentlichen Änderungen festgestellt. Einige der für die Exfiltration gesammelten Dateien werden im Folgenden anhand einer relativ frischen Installation von macOS gezeigt.
Schließlich sendet die Malware eine POST-Anfrage über HTTP an den Server des Angreifers/der Angreiferin, die eine base64-kodierte Zip-Datei mit exfiltrierten Daten im Anfragebody enthält.
Angriff 2 - Meethub
Jamf Threat Labs erhielt außerdem einen Hinweis auf einen anderen laufenden Angriff, nachdem es die versuchte Ausführung einer unsignierten ausführbaren Datei mit einem bekannt schlechten Hash-Wert unter folgendem Pfad beobachtet hatte:
/Programme/Meethub.app/Inhalt/MacOS/sleve
Die Bezeichnung des Antrags und die Tatsache, dass er nicht unterzeichnet war, gaben Anlass zu Nachforschungen. Es wurde klar, dass es sich lohnte, diese App zu untersuchen, als sich herausstellte, dass der Appname nicht mit dem Namen der ausführbaren Datei übereinstimmte. Es ist zwar keine Anforderung des Betriebssystems, dass der Name der App und der Name der ausführbaren Datei übereinstimmen müssen, aber eine solche Nichtübereinstimmung ist unüblich. Weitere Nachforschungen brachten uns auf die Website meethub[.]gg.
Meethub, als Organisation, ist mit einer überzeugenden Medienpräsenz auf Telegram und Medium verbunden. Der bemerkenswerteste seiner bekannten Auftritte im Internet ist auf X, wo er mehr als achttausend Follower hat (wahrscheinlich eine Mischung aus Bots und Nutzer*innen), von denen viele in ihrem Profil ein Interesse an Kryptowährungen angegeben haben.
Die Opfer haben von Direktnachrichten von Betrüger*innen berichtet, die sich als harmlose Personen ausgeben und ein Treffen vereinbaren wollen. In einem Fall ging es darum, mit dem Opfer die Aufnahme eines Podcasts zu besprechen, im anderen Fall um ein Jobangebot. Beide Profile zeigten ein starkes Engagement im Bereich Krypto und Blockchain.
Bei der Kontaktaufnahme bat der Angreifer/die Angreiferin um die Verwendung von Meethub als virtuelle Konferenzsoftware für den Anruf. Wenn Sie die Meethub-Website aufrufen und „Kostenlos ausprobieren“ wählen, erhalten Sie Links zu den Windows- und macOS Versionen. Bei der Auswahl von macOS wird ein unsigniertes 51-Megabyte-Paket heruntergeladen (7f22760d6d85f8173292d39ea087f35695ad65ab
). Nachdem Sie den Download ausgewählt haben, finden Sie auf der Website einen Hinweis darauf, wie Sie die Gatekeeper-Eingabeaufforderungen umgehen können, die möglicherweise auftreten.
Auf den ersten Blick sieht man, dass die heruntergeladene App nur die Intel-Architektur unterstützt.
>> Datei /Programme/MeetHub.app/Inhalt/MacOS/sleve
/Applications/MeetHub.app/Contents/MacOS/sleve: Mach-O 64-bit ausführbar x86_64
Dies ist entweder eine interessante Entscheidung oder ein Versehen des Malware-Autors. Damit die App auf der neueren ARM-Architektur erfolgreich ausgeführt werden kann, muss zunächst Rosetta installiert werden. Ist dies nicht der Fall, kann die App nach der Installation nicht geöffnet werden und der Benutzer/die Benutzerin muss sie manuell öffnen. Sie müssen dann den Anweisungen zur Installation von Rosetta folgen.
Das Hauptprogramm der App unter Meethub.app/Contents/MacOS/sleve (3865636ed27ae81f146ed5b9ac9a25f53a6d10a7
) beginnt seine Arbeit, indem es zunächst eine Reihe von Aufklärungsbefehlen wie uname
, sw_vers
und ioreg
ausführt.
Ähnlich wie das oben untersuchte Atomic-Stealer-Beispiel fordert auch dieser Stealer den Benutzer mit dem folgenden AppleScript Aufruf zur Eingabe seines macOS Anmeldekennworts auf.
Die Malware erzeugt diese Aufforderung so lange, bis das richtige Kennwort eingegeben wird. Anschließend wird der Schlüsselbund des Benutzers/der Benutzerin mit dem folgenden Befehl kopiert:
cp ~/Library/Keychains ~/Documents/data/Keychain/kc.db
Der Infostealer holt dann alles aus dem Schlüsselbund heraus, was er kann, indem er es an den Sicherheitsbefehl weiterleitet.
sicherheit unlock-keychain -p /Users//Library/Keychains/login.keychain-db
Nachdem der Schlüsselbund mit dem Passwort des Benutzers/der Benutzerin entsperrt wurde, wird das Open-Source-Tool chainbreaker ausgeführt, um Passwörter aus dem entsperrten Schlüsselbund zu sammeln. Das Chainbreaker-Tool (50b8af2019adbbea310bce0259b4a3f3da2e4d7d
) ist in der App gebündelt und unter MeetHub.app/Contents/Resources/extensions/installer gespeichert.
Weitere unterstützte Aktionen des Stealers sind:
- Sammlung von Benutzernamen und Passwörtern aus Browser-Anmeldedaten
- die Möglichkeit, Kreditkartendaten abzurufen
- Daten aus einer Liste von installierten Krypto-Wallets zu stehlen, darunter Ledger und Trezor
Bei jedem Schritt des Infostealers sendet die Malware ein Update an die IP-Adresse 46.101.104[.]172, um das aktuelle Stadium der Kompromittierung des Systems zu verfolgen.
Interessanterweise haben wir im Zusammenhang mit Ledger-Geldbörsen ein Verhalten beobachtet, bei dem die Malware versucht, eine modifizierte Version von Ledger herunterzuladen.
Es scheint jedoch, dass Ledger diese Aktion erkannt und blockiert hat.
Obwohl nicht bestätigt wurde, dass es sich um einen direkten Zusammenhang handelt, gibt es eine Reihe interessanter Ähnlichkeiten zwischen diesem Stealer und dem Stealer, der ursprünglich als Realst Stealer dokumentiert wurde. Beide haben eine Handvoll Merkmale gemeinsam, wie z. B. die gewählte Sprache Rust für die ausführbare Datei, die Verwendung von Chainbreaker und die Tatsache, dass der MachO-Hash von Chainbreaker in einer Reihe von Videospiel-ähnlichen Paketen zu finden ist - ein Ansatz, der von Realst verwendet wird -, die bei VirusTotal hochgeladen und als bösartig identifiziert wurden.
Schlussfolgerung
Die in diesem Blog-Beitrag beschriebenen Angriffe sind zwei von vielen verschiedenen Infostealer-Angriffen, die im vergangenen Jahr gegen macOS Benutzer*innen beobachtet wurden. Wie bereits erwähnt, konzentrieren sich diese Angriffe häufig auf Unternehmen der Kryptoindustrie, da solche Bemühungen zu hohen Auszahlungen für die Angreifer*innen führen können. Diejenigen, die in dieser Branche tätig sind, sollten sich darüber im Klaren sein, dass es oft leicht ist, öffentliche Informationen darüber zu finden, dass sie Inhaber*innen von Vermögenswerten sind oder leicht mit einem Unternehmen in Verbindung gebracht werden können, das sie in diese Branche bringt. Viele von uns gehen von der falschen Annahme aus, dass die Betrüger*innen eher zufällig auftauchen, als dass sie sich direkt an ihre Opfer wenden.
Das ist nicht der Fall.
Social Engineering zum Zwecke des Kryptogewinns wird sowohl von APT-Gruppen als auch von Cyberkriminellen betrieben. Der Aufbau von Beziehungen vor der Infiltration kommt auf der macOS Plattform immer häufiger vor. Die Nutzer*innen müssen wachsam bleiben und sich auf diese Art von Angriffen einstellen.
Aktualisierung: 5. April 2024
Bei der Überwachung auf ähnliche Indikatoren dieser Malware-Familien stießen die Jamf Threat Labs auf eine weitere Website, die die Atomic Stealer-Malware unter suarometa[.]site
hostet. Es handelt sich um eine weitere ziemlich überzeugende Website, die vorgibt, ein Videospiel zu hosten, das es den Nutzer*innen ermöglicht, NFTs zu generieren, während sie es durchspielen.
Wenn man ihre Twitter- und Instagram-Links besucht, stellt man sofort fest, dass beide Zehntausende von Followern haben, aber nur eine minimale Anzahl von Beiträgen. Die Website enthält eine Windows- und eine Mac Version von Atomic Stealer. Wenn Sie die Windows-Version auswählen, wird der Download von einem Dropbox-Link gestartet, während die Mac Version auf mandkhome[.]com/process.php
verweist. Diese URL lädt dann eine dmg-Datei herunter, die jedes Mal einen anderen Hash liefert. Beim Öffnen dieser dmg-Datei wird der Benutzer/die Benutzerin mit der bekannten Aufforderung „Rechtsklick-Klick-Öffnen“ konfrontiert, was dazu führt, dass Gatekeeper außer Kraft gesetzt wird, wenn der Benutzer/die Benutzerin diesen Anweisungen folgt.
Dieses Atomic Stealer-Beispiel unterscheidet sich geringfügig von dem zuvor in diesem Blog-Beitrag besprochenen. Ihr Ziel und ihre Logik bleiben jedoch letztlich dieselben. Der Benutzer/die Benutzerin wird zur Eingabe eines Kennworts aufgefordert, und es kommt zum Diebstahl seiner Anmeldedaten und sensiblen Dateien.
IoCs
Abonnieren Sie den Jamf Blog
Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.