Hacker verbreiten Trojaner über Torrent-Seiten

Cyberkriminelle verbreiten einen Trojaner, der auch Krypto-Wallets stiehlt. Die Malware versteckt sich in gecrackter Software, wie Kaspersky mitteilt. Die Viren sollen auf Websites kursieren, die Raubkopien anbieten. Dabei würden die Hacker gecrackte Software infizieren und sie dort in Umlauf bringen. Die Malware, welche die Hacker als PKG-Datei tarnen, läuft auf macOS ab Ventura 13.6, wie es heisst. Damit scheinen die Hacker laut dem Bericht nur User neuerer Betriebssysteme angreifen zu wollen. 

Die kompromittierte Datei enthalte ein Programm namens "Activator" sowie die Anwendung, welche die Benutzer installieren möchte. Beim Öffnen/Mounten des Images werde ein Fenster mit Installationsanweisungen angezeigt.

Nachdem das Opfer die Malware heruntergeladen hat, müsse es diese im Ordner "/Applications/" ablegen. Dadurch öffnet sich ein gefälschtes Aktivierungsfenster, das nach dem Administratorkennwort fragt, wie es weiter heisst.

So sieht das geöffnete Fenster auf. Das Programm bittet die User um die Eingabe des Passworts. (Source: zVg)

Sobald der User dem Programm die Erlaubnis erteilt, führt die Malware die Funktion "AuthorizationExecuteWithPrivileges" aus. Damit prüfe das Programm, ob Python 3 auf dem System vorhanden ist. Falls es nicht da ist, lade die Malware das Programm erst noch herunter. Für den Betroffenen sehe das Ganze nach einem "App-Patching" aus. Die App, die der User eigentlich runterladen wollte, funktioniert dann und scheint geknackt zu sein, wie aus dem Bericht hervorgeht. Der Trick bestehe darin, dass die böswilligen Akteure bereits geknackte Anwendungsversionen nähmen und einige Bytes an den Anfang der ausführbaren Datei anhängen würden, um sie zu deaktivieren.

Malware kontaktiert Server, um schädliche Python-Programme herunterzuladen

Danach kontaktiert die Malware laut dem Bericht einen Command-and-Control-Server (C2) auf einer Website mit dem irreführenden Namen "apple-health[.]org". Dort rufe die Malware ein Base64-kodiertes Python-Skript auf, das beliebige Befehle auf dem angegriffenen Gerät ausführen könne.

Zur Ermittlung der richtigen URL greife das Programm auf Wörtern aus zwei fest codierten Listen und einer zufälligen Folge von fünf Buchstaben als Domänenname der dritten Ebene zurück. Mit dieser Methode verberge der Angreifer seine Aktivitäten im Datenverkehr und tarne das Python-Skript als TXT-Einträge.

Wenn das Python-Skript einmal heruntergeladen ist, dient dieses als Downloader für weitere Skripts, wie es weiter heisst. Letztere würden Backdoor-Zugang bieten und Informationen über das infizierte System sammeln. Hierbei ändern sich die am Anfang des Backdoor-Scripts gespeicherten "Metadaten" laut den Forschern regelmässig. Die Metadaten würden die IP-Adresse und den Domänennamen des C2-Servers sowie die GUID und die Version des Programms enthalten. Gemäss den Forschenden deutet dies darauf hin, dass die Malware-Kampagne noch nicht abgeschlossen ist. Einige der auszuführenden Befehle sind laut dem Bericht noch nicht einmal geschrieben worden.

Das heruntergeladene Skript enthalte auch zwei Funktionen, die das infizierte System auf das Vorhandensein von Bitcoin Core- und Exodus-Wallets überprüfe. Wenn das Programm diese einmal gefunden habe, ersetze es sie durch gefälschte Kopien. Die infizierten Wallets enthalten gemäss dem Bericht zudem einen Code, der die Seed-Phrase, das Passwort, den Namen und den Kontostand an den C2-Server des Angreifers übermittelt. Mit den geheimen Wiederherstellungsphrasen können die Angreifer so den Inhalt im Wallet stehlen.

Übrigens: Check Point hat seine "Most Wanted"-Liste für den Dezember 2023 veröffentlicht. An der Spitze steht in der Schweiz Cloudeye, ein Downloader, der bösartige Programme auf dem Computer installiert. Mehr dazu finden Sie hier.