利用破解的遊戲或應用程式散播惡意程式,是網絡犯罪份子最古老的技倆之一,但時至今日仍然有不少人掉入陷阱,而且作案手法也與時並近,近日便發現針對Apple電腦上使用macOS 13.6或之後的用戶,通過DNS下載惡意的內容。
偽裝的啟動
當用戶下載聲稱是已破解應用程式的鏡像檔後,便會提示複製兩個檔案到應用程式資料夾,一個是應用程式,另一個是所謂的啟動器,如果只是複製並無法執行程式,根據安裝指南程式需要先行「啟動」,研究人員發現該啟動器並沒有做甚麼精密的動作,只是移除了應用程式執行檔開頭的幾個位元組,令它能夠正常運作,換向話說,即是犯罪份子修改預先破解應用程式,以防止用戶在未「啟動」前正常執行程式,而該啟動器真正邪惡的一面,是要求在執行時獲得管理員權限,並藉此安裝下載工具腳本在系統,然後腳本便從網上進一步下載後門程式。
經由DNS連結
啟動器為了下載惡意腳本,利用到DNS(Domain Name System),它不但透過IP地址連結伺服器網名,也含有TXT的文字記錄描述伺服器,而攻擊者正是利用TXT記錄加入惡意編碼,透過啟動器下載三個屬於惡意域名的TXT記錄並組成腳本,雖然看似複雜,但也擁有不同的優點,首先是啟動器並沒有可疑,所有網絡應用程式都會要求DNS記錄,其次是攻擊者能輕鬆更新腳本以修改感染模式和最終的惡意內容,最後是移險網上的惡意內容並不容易,即使是互聯網服務供應商和機構要偵測到違規行為也並不容易。
最終「Boss」
分階段下載腳本讓攻擊者能更新惡意內容,並在受害者電腦上為所欲為,其中一種「興趣」就是盜竊加密貨幣,後門程式自動掃瞄受害者電腦尋找Exodus或Bitcoin錢包,然後換成受木馬感染版本,受影響的Exodus錢包會盜取用戶的seed phrase,Bitcoin錢包則是用來加密private key的加密金鑰,讓攻擊者能夠偽裝成受害者進行交易。
保護自己的加密錢包
從官方渠道下載應用程式,最把風險降至最低的不二法門,在開始下載前,再三確定是從開發者網站下載,而不是在釣魚網站之上,下載破解版應用程式隨時因小失大,而在所有連接互聯網的裝置上都安裝可靠的防護方案,就能進一步提升網絡安全。
資料來源:Kaspersky Blog
