Μια νέα οικογένεια κακόβουλου λογισμικού που στοχεύει συστήματα macOS έχει εμφανιστεί με προηγμένες τεχνικές αποφυγής εντοπισμού και αλυσίδες επιθέσεων πολλαπλών σταδίων.
Με το όνομα DigitStealer, αυτός ο κλέφτης πληροφοριών χρησιμοποιεί πολλαπλά ωφέλιμα φορτία για να κλέψει ευαίσθητα δεδομένα αφήνοντας ελάχιστα ίχνη σε μολυσμένα μηχανήματα.
Το κακόβουλο λογισμικό μεταμφιέζεται ως νόμιμο λογισμικό και χρησιμοποιεί έξυπνες μεθόδους για να παρακάμψει τις προστασίες ασφαλείας της Apple.
Το DigitStealer διαδίδεται μέσω ψεύτικων εκδόσεων δημοφιλών εφαρμογών macOS. Το κακόβουλο λογισμικό ανακαλύφθηκε σε ένα ανυπόγραφο αρχείο εικόνας δίσκου που ονομάζεται DynamicLake.dmg, προσποιούμενο ότι είναι ένα νόμιμο βοηθητικό πρόγραμμα.
Οι χρήστες ξεγελιούνται για να εκτελέσουν ένα αρχείο με την ένδειξη “Drag Into Terminal.msi” το οποίο ξεκινά τη διαδικασία μόλυνσης.
Κατά τη στιγμή της ανακάλυψης, καμία μηχανή προστασίας από ιούς στο VirusTotal δεν εντόπισε αυτήν την απειλή, καθιστώντας την εξαιρετικά επικίνδυνη.
Αυτό που κάνει αυτό το κακόβουλο λογισμικό να ξεχωρίζει είναι η χρήση προηγμένων ελέγχων υλικού για την αποφυγή εκτέλεσης σε εικονικές μηχανές ή παλαιότερους υπολογιστές Mac.
Ερευνητές ασφαλείας Jamf αναγνωρισθείς ότι το DigitStealer στοχεύει συγκεκριμένα τα νεότερα συστήματα Apple Silicon, ιδιαίτερα τα τσιπ M2 και άνω, ενώ αποφεύγει τους Mac που βασίζονται σε Intel και ακόμη και τις συσκευές M1.
Το κακόβουλο λογισμικό εκτελεί εκτεταμένους ελέγχους συστήματος πριν από την εκτέλεση του κύριου ωφέλιμου φορτίου του.
Η μόλυνση ξεκινά με μια απλή εντολή bash που κατεβάζει ένα κωδικοποιημένο σενάριο από έναν απομακρυσμένο διακομιστή. Αφού αποκωδικοποιηθεί, αυτό το σενάριο εκτελεί πολλαπλά βήματα επαλήθευσης για να διασφαλίσει ότι εκτελείται μόνο σε φυσικούς υπολογιστές Mac με συγκεκριμένες δυνατότητες υλικού.
.webp.jpeg)
Το κακόβουλο λογισμικό ελέγχει τις τοπικές ρυθμίσεις του συστήματος και εξέρχεται εάν εντοπίσει ορισμένες χώρες, ενδεχομένως για να αποφύγει τη δίωξη.
Ανίχνευση διαφυγής μέσω προηγμένων ελέγχων υλικού
Το DigitStealer χρησιμοποιεί εξελιγμένες τεχνικές για τον εντοπισμό εικονικών μηχανών και περιβαλλόντων ανάλυσης. Το κακόβουλο λογισμικό ζητά πληροφορίες υλικού χρησιμοποιώντας εντολές συστήματος και αναζητά λέξεις-κλειδιά όπως “Εικονικό” ή “VM” στην έξοδο.
Εάν εντοπιστεί, το κακόβουλο λογισμικό σταματά αμέσως την εκτέλεση. Η πιο ενδιαφέρουσα πτυχή περιλαμβάνει τον έλεγχο για συγκεκριμένες λειτουργίες Apple Silicon χρησιμοποιώντας τις ακόλουθες εντολές:
sysctl -n hw.optional.arm.FEAT_BTI
sysctl -n hw.optional.arm.FEAT_SSBS
sysctl -n hw.optional.arm.FEAT_ECVΑυτές οι εντολές επαληθεύουν εάν υπάρχουν προηγμένες λειτουργίες επεξεργαστή ARM στο σύστημα προορισμού. Μόνο τα M2 ή νεότερα τσιπ έχουν αυτές τις δυνατότητες, περιορίζοντας ουσιαστικά τις μολύνσεις στους πιο πρόσφατους υπολογιστές Mac.
Αυτή η προσέγγιση βοηθά το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό από ερευνητές ασφαλείας που χρησιμοποιούν συχνά εικονικές μηχανές ή παλαιότερο υλικό για ανάλυση.
Αφού περάσει όλους τους ελέγχους επαλήθευσης, το DigitStealer κατεβάζει τέσσερα ξεχωριστά ωφέλιμα φορτία από απομακρυσμένους διακομιστές.
Κάθε ωφέλιμο φορτίο έχει έναν συγκεκριμένο σκοπό, από την κλοπή διαπιστευτηρίων προγράμματος περιήγησης και πορτοφολιών κρυπτονομισμάτων έως την τροποποίηση νόμιμων εφαρμογών όπως το Ledger Live.
Το κακόβουλο λογισμικό χρησιμοποιεί νόμιμες υπηρεσίες Cloudflare για τη φιλοξενία ωφέλιμων φορτίων, καθιστώντας τον εντοπισμό και τον αποκλεισμό πιο δύσκολο.
