На днях эксперты по кибербезопасности «Лаборатории Касперского» выявили новый вид вредоносного ПО, предназначенного для кражи криптовалюты из цифровых кошельков на устройствах с macOS.
Эксперты выделили этот криптотроян по двум причинам. Во-первых, он использует ресурсные записи DNS как средство доставки вредоносного Python-скрипта. Во-вторых, этот подход отличается от традиционной схемы, заключающейся в обычной краже средств из криптовалютных кошельков; вместо этого новый вирус меняет приложение-кошелек на его заражённую версию.
Специалисты отмечают, что эта тактика позволяет трояну извлечь секретную фразу, необходимую для доступа к криптовалюте, хранящейся в кошельке.
В частности, вредоносное ПО нацелено на устройства с macOS версии 13.6 и выше и затрагивает девайсы как на базе Intel, так и Apple Silicon. Согласно «Лаборатории Касперского», это говорит о том, что хакеры преднамеренно нацеливаются на пользователей новых операционных систем.
Скомпрометированные образы дисков содержат специальный «активатор». Эта безобидная на вид программа запускает взломанное приложение только после того, как пользователь невольно введёт свой пароль.
Получаются, злоумышленники используют предварительно скомпрометированные итерации приложений, манипулируя исполняемыми файлами, которые не работают до тех пор, пока пользователь не запустит активатор. Этот стратегический манёвр гарантирует, что пользователь самостоятельно запустит скомпрометированное приложение.
После этого вредоносная программа пускает в ход свою основную нагрузку, а скрипт настойчиво пытается загрузить следующий этап заражения. Атаке подверглись такие популярные кошельки, как Bitcoin и Exodus, в результате чего эти доверенные приложения превратились во вредоносные объекты.
Сергей Пузан, эксперт по кибербезопасности «Лаборатории Касперского», напомнил о рисках, связанных с пиратским программным обеспечением:
Киберпреступники используют пиратские приложения, чтобы беспрепятственно получить доступ к компьютерам пользователей и правам администратора, попросив своих жертв ввести пароль.
Чтобы защититься от подобных троянов и уберечь свои криптоактивы, исследователи «Лаборатории Касперского» рекомендуют загружать приложения исключительно из официальных магазинов. И хотя эти платформы и не гарантируют абсолютную защиту, они всё же подвергаются определённому контролю.
Кроме того, пользователям рекомендуется устанавливать проверенные решения по обеспечению безопасности, регулярно обновлять свои операционные системы и приложения, защищать свои SEED-фразы, а также использовать надёжные и уникальные пароли.