Эксперты Kaspersky обнаружили бэкдор для macOS, позволяющий красть валюту пользователей из криптокошельков. Вредоносное ПО распространяется в составе взломанных программ. Судя по найденным образцам, злоумышленники целятся только в пользователей новых операционных систем — от macOS 13.6 и выше.

Зловред примечателен по двум параметрам: во-первых, нестандартным способом доставки своего вредоносного скрипта на Python и сокрытия активности в сетевом трафике с помощью TXT-записей. Во-вторых, он не просто крадет криптокошельки, а заменяет приложение кошелька своей собственной зараженной версией. Это позволяет злоумышленникам украсть секретную фразу, используемую для доступа к криптовалюте, хранящейся в кошельках.

Как зловред проникает на устройство. Пользователь скачивает пиратскую программу в виде образа диска, в котором содержится само приложение и «Активатор». Чтобы программа начала работать, её якобы нужно взломать. Для этого нужно скопировать приложение в папку /Applications/, запустить «Активатор», нажав кнопку «PATCH», и ввести пароль администратора. После выполнения этих шагов программа действительно становится рабочей. Нюанс в том, что приложение и так было взломано: злоумышленники добавляют несколько байт в начало исполняемого файла, делая его нерабочим, чтобы вынудить пользователя запустить «Активатор» и получить привилегии администратора. 

После «патчинга» зловред связывается с DNS-сервером в попытке получить TXT-записи, ассоциированные с вредоносным доменом. В этих записях в зашифрованном виде хранится Python-скрипт, который раз в 30 секунд обращается к другому вредоносному серверу, чтобы загрузить и выполнить финальную вредоносную нагрузку в виде еще одного Python-скрипта. Раз в 30 секунд он обращается к серверу, чтобы загрузить и выполнить уже следующий скрипт. Экспертам Kaspersky удалось получить его образец. Выяснилось, что основная задача скрипта — выполнять произвольные команды, получаемые с контрольного сервера. Также он собирает и передаёт на сервер сведения о версии операционной системы, списке установленных приложений, типе процессора и другую информацию.

Одна из функций бэкдора — подмена приложений криптокошельков. Зловред проверяет, есть ли на устройстве приложения криптокошельков (Exodus и Bitcoin), а затем подменяет их на заражённые версии. Благодаря этому у атакующих появляется возможность перехватывать seed-фразы (в случае с кошельком Exodus) или пароль для разблокировки кошелька и сам кошелек (в случае с Bitcoin), а в итоге — украсть и сам криптокошелёк.

«Взломанные программы — один из самых простых способов получить доступ к устройству жертвы. Пользователь, по сути, сам активирует зловред — злоумышленникам даже не нужно прилагать для этого особых усилий. При установке такого рода вредоносного ПО обычно требуется только пароль администратора, что не вызывает особых подозрений», — комментирует Сергей Пузан, эксперт по кибербезопасности Kaspersky.

Чтобы защититься от злоумышленников, эксперты Kaspersky рекомендуют:

• скачивать ПО из официальных магазинов приложений или с сайта разработчика;
• внимательно изучать отзывы пользователей на программы;
• регулярно обновлять операционную систему и приложения, чтобы вовремя устанавливать исправления безопасности; 
• использовать надёжное защитное решение, которое предупредит о попытке установить ПО из подозрительного источника, а также о заражении устройства вредоносным ПО.