Νέο Nova Stealer που επιτίθεται σε χρήστες macOS ανταλλάσσοντας νόμιμες εφαρμογές για κλοπή δεδομένων πορτοφολιού κρυπτονομισμάτων

Μια νέα καμπάνια κακόβουλου λογισμικού που στοχεύει χρήστες macOS έχει εμφανιστεί με επικίνδυνη εστίαση στην κλοπή πορτοφολιού κρυπτονομισμάτων.

Το κακόβουλο λογισμικό, που ονομάζεται Nova Stealer, χρησιμοποιεί μια έξυπνη προσέγγιση για να ξεγελάσει τα θύματα αντικαθιστώντας τις γνήσιες εφαρμογές κρυπτονομισμάτων με ψεύτικες εκδόσεις που κλέβουν φράσεις ανάκτησης πορτοφολιού.

Αυτός ο κλέφτης που βασίζεται στο bash έχει εντοπιστεί ότι επιτίθεται σε χρήστες δημοφιλών πορτοφολιών κρυπτονομισμάτων, συμπεριλαμβανομένων των Ledger Live, Trezor Suite και Exodus.

Η επίθεση ξεκινά όταν ένα άγνωστο dropper κατεβάζει και εκτελεί ένα σενάριο που ονομάζεται mdriversinstall.sh από τον διακομιστή εντολών και ελέγχου στο hxxps://ovalresponsibility[.]com/mdriversinstall[.]sh.

Αυτό το αρχικό σενάριο δημιουργεί έναν κρυφό κατάλογο στο ~/.mdrivers και εγκαθιστά πολλά στοιχεία, συμπεριλαμβανομένου ενός διαχειριστή σεναρίων και ενός προγράμματος εκκίνησης.

Το κακόβουλο λογισμικό δημιουργεί ένα μοναδικό αναγνωριστικό χρήστη χρησιμοποιώντας το uuidgen εντολή και την αποθηκεύει ~/.mdrivers/user_id.txt για την παρακολούθηση των μολυσμένων συστημάτων.

BruceKetta.space ερευνητές ασφάλειας αναγνωρισθείς την καμπάνια Nova Stealer και σημείωσε τον αρθρωτό σχεδιασμό της. Το κακόβουλο λογισμικό χρησιμοποιεί ένα σενάριο ενορχηστρωτή που ονομάζεται mdriversmngr.sh που κατεβάζει πρόσθετες μονάδες από τον διακομιστή εντολών και ελέγχου.

Αυτές οι μονάδες είναι κωδικοποιημένες σε μορφή base64 και αποθηκεύονται κάτω ~/.mdrivers/scripts. Το κακόβουλο λογισμικό επιτυγχάνει επιμονή δημιουργώντας ένα αρχείο plist LaunchAgent με ετικέτα application.com.artificialintelligence που διασφαλίζει ότι τα σενάρια εκτελούνται αυτόματα σε κάθε εκκίνηση του συστήματος.

Μια ιδιαίτερα ενδιαφέρουσα τεχνική που χρησιμοποιείται από το Nova Stealer είναι η εκτέλεση σεναρίων σε περιόδους λειτουργίας αποκομμένης οθόνης χρησιμοποιώντας την εντολή screen -dmS .

Αυτή η προσέγγιση διατηρεί τις κακόβουλες διεργασίες που εκτελούνται ανεξάρτητα στο παρασκήνιο, κρυφές από την άποψη του χρήστη. Οι διεργασίες επιβιώνουν ακόμη και όταν οι χρήστες αποσυνδέονται επειδή εκτελούνται ως συνεδρίες δαίμονας με το -dmS σημαία.

Ανταλλαγή εφαρμογών και κλοπή φράσης σπόρων

Η πιο επικίνδυνη δυνατότητα του Nova Stealer περιλαμβάνει την ανταλλαγή νόμιμων εφαρμογών πορτοφολιού κρυπτονομισμάτων με ψεύτικες εκδόσεις.

Το στοιχείο κακόβουλου λογισμικού mdriversswaps.sh ανιχνεύει εάν το Ledger Live ή το Trezor Suite είναι εγκατεστημένα στο σύστημα ελέγχοντας τις διαδρομές μέσα /Applications/.

Όταν βρεθεί, το σενάριο αφαιρεί τις αρχικές εφαρμογές χρησιμοποιώντας rm -rf και διαγράφει τις καταχωρήσεις της βάσης δεδομένων του Launchpad μέσω εντολών SQLite όπως DELETE FROM apps/items where title or ids match.

Στη συνέχεια, το κακόβουλο λογισμικό κατεβάζει κακόβουλες εφαρμογές αντικατάστασης από συγκεκριμένους τομείς, συμπεριλαμβανομένων hxxps://wheelchairmoments[.]com για ψεύτικο Ledger Live και hxxps://sunrisefootball[.]com για ψεύτικη σουίτα Trezor.

Αυτά τα αρχεία ZIP αποθηκεύονται σε ~/Library/LaunchAgents/ και εξήχθη για να αντικαταστήσει τις αρχικές εφαρμογές. Το κακόβουλο λογισμικό τροποποιεί τη διαμόρφωση του Dock χρησιμοποιώντας /usr/libexec/PlistBuddy για να διαγράψετε την παλιά καταχώριση εφαρμογής και να προσθέσετε μια νέα που δείχνει στην ψεύτικη εφαρμογή.

Οι εφαρμογές ψεύτικο πορτοφόλι χρησιμοποιούν το Swift και το WebKit για να αποδώσουν σελίδες phishing που φαίνονται νόμιμες. Όταν τα θύματα ανοίγουν αυτό που πιστεύουν ότι είναι η εφαρμογή πορτοφολιού τους, βλέπουν μια διεπαφή ανάκτησης που τους ζητά να εισαγάγουν τις βασικές φράσεις τους.

Ο κακόβουλος κώδικας JavaScript περιλαμβάνει επικύρωση με λίστες λέξεων BIP-39 και SLIP-39 για να παρέχει λειτουργία αυτόματης συμπλήρωσης, κάνοντας την ψεύτικη διεπαφή να αισθάνεται αυθεντική.

Καθώς οι χρήστες πληκτρολογούν τις λέξεις ανάκτησης, τα δεδομένα αποστέλλονται στα τελικά σημεία /seed και /seed2 με καθυστέρηση 200-400ms μετά από κάθε πάτημα πλήκτρων, επιτρέποντας στους εισβολείς να καταγράφουν μερικές φράσεις σε πραγματικό χρόνο χωρίς να περιμένουν την τελική υποβολή.

Το Nova Stealer εκτελεί επίσης αποκλειστικές μονάδες διήθησης. Ο mdriversfiles.sh Το στοιχείο αναζητά και κλέβει αρχεία πορτοφολιού, συμπεριλαμβανομένων των αρχείων καταγραφής Trezor IndexedDB, αρχείων Exodus όπως passphrase.json και seed.secoκαι του Ledger’s app.json.

Αυτά τα αρχεία μεταφορτώνονται στον διακομιστή εντολών και ελέγχου κάθε 20 ώρες χρησιμοποιώντας δυαδικά αιτήματα POST. Επιπλέον, mdriversmetrics.sh συλλέγει πληροφορίες συστήματος, συμπεριλαμβανομένων εγκατεστημένων εφαρμογών, εκτελούμενων διαδικασιών και στοιχείων Dock, για να βοηθήσει τους εισβολείς να δημιουργήσουν προφίλ θυμάτων και να βελτιώσουν τις καμπάνιες τους.