Как украсть крипту через DNS

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.877
Репутация
11.595
Реакции
61.773
RUB
50
Скупой платит дважды: взломанные приложения для MacOS воруют криптовалюту, скачивая вредоносный код из DNS-записей.


Распространение зловредов вместе со взломанными играми или приложениями — один из старейших трюков киберпреступников. Удивительно, но даже в 2024 году находятся доверчивые жертвы, верящие в Робин Гудов и предполагающие, что скачивать взломанные платные программы и игры с пиратских сайтов совершенно безопасно. Однако, хотя эта угроза и стара, злоумышленники постоянно изобретают новые приемы для доставки вредоносного ПО на компьютер жертвы в попытке обойти защитные решения.

Недавно мы новую кампанию такого рода, нацеленную на компьютеры Apple со свежими версиями macOS (13.6 и выше) и использующую особенности устройства сервиса доменных имен (DNS) для скачивания вредоносной нагрузки. Жертвам предлагается бесплатно скачать взломанные версии популярных приложений. Что ждет тех, кто поддастся искушению?

Кража крипты из кошельков Exodus и Bitcoin через взломанные приложения macOS


Фальшивая активация

После скачивания образа диска, предположительно содержащего взломанную программу, жертве предлагается скопировать в папку Applications два файла: само приложение и программу-«активатор». Если скопировать и запустить только приложение, оно не заработает. Инструкция гласит, что взломанную программу обязательно надо «активировать». Как выяснилось при анализе, функция активатора примитивна — он убирает в исполняемом файле приложения несколько начальных байтов, после чего оно начинает работать.

То есть преступники взяли уже взломанное приложение и изменили его так, чтобы без активатора оно не могло запуститься. Разумеется, активатор имеет неприятную дополнительную функцию — при запуске он запрашивает права администратора и, пользуясь ими, устанавливает в системе скрипт-загрузчик. Этот скрипт скачивает из Сети дополнительную вредоносную нагрузку — , регулярно запрашивающий команды от злоумышленников.


Инструкция по установке, окно активатора и запрос пароля администратора

Связь через DNS

Чтобы скачать вредоносный скрипт, активатор обращается к достаточно экзотическому и невинно выглядящему инструменту — сервису доменных имен (DNS). Мы писали про DNS и ранее, но не затрагивали интересную техническую особенность сервиса. Каждая DNS-запись не только связывает интернет-имя сервера с его IP-адресом, но и может содержать произвольное текстовое описание сервера, так называемую TXT-запись. И этим воспользовались злоумышленники, разместив в TXT-записях фрагменты вредоносного кода. Активатор загружает три TXT-записи вредоносного домена и собирает из них готовый скрипт.

Эта сложная на вид схема имеет ряд преимуществ.

Во-первых, активатор не делает ничего особо подозрительного — обращение к DNS-записям ведут любые интернет-приложения, с этого обязан начинаться любой сеанс связи.
Во-вторых, злоумышленники могут легко обновлять скрипт, чтобы модифицировать схему заражения и финальную вредоносную нагрузку, изменяя TXT-записи домена.
В-третьих, удалить вредоносное содержимое из Сети не так уж просто из-за распределенной структуры сервиса доменных имен. А для интернет-провайдеров и компаний сложно даже заметить нарушение их политик, ведь каждая подобная TXT-запись — лишь фрагмент вредоносного кода, который сам по себе угрозы не представляет.

Финальный босс

Благодаря периодически запускаемому сценарию скачивания скрипта, злоумышленники могут обновлять вредоносную нагрузку и выполнять на компьютере жертвы любые нужные им действия. Но на момент нашего анализа их интересовала кража криптовалюты. Бэкдор в автоматическом режиме ищет на компьютере жертвы криптокошельки Exodus или Bitcoin и подменяет их приложения на троянизированные версии.

Зараженный кошелек Exodus ворует ключевую фразу (seed phrase), а зараженный Bitcoin-кошелек — ключ шифрования, которым зашифрованы приватные ключи, что позволяет атакующим подписывать переводы от имени жертвы. Таким образом, «сэкономив» несколько десятков долларов на взломанных приложениях, можно потерять на порядок больше в крипте.

Как защититься от атаки на криптокошелек

Скажем банальное: чтобы избежать угрозы и не стать жертвой преступников, нужно скачивать приложения только из официальных магазинов приложений. Если вы хотите скачать приложение с сайта разработчика, убедитесь, что вы попали на настоящий сайт, а не на один из многочисленных .
Если же вы задумались о том, чтобы скачать взломанную версию приложения — передумайте. «Честные и заслуживающие доверия» сайты с пиратской продукцией встречаются не чаще единорогов и эльфов.

Вне зависимости от того, что вы думаете о своей технической грамотности, осторожности и внимательности, обязательно используйте комплексную защиту на всех своих устройствах: телефонах, планшетах и компьютерах. Хорошим кросс-платформенным решением станет . При этом важно убедиться, что все активированы. А владельцам крипты рекомендуем дополнительно изучить наши подробные инструкции по защите и криптокошельков.


 
  • Теги
    вредоносный код красжа крипты через dns приложения для macos
  • Сверху Снизу