PINUSI.COM - Peneliti Kaspersky telah menemukan jenis malware yang tidak biasa untuk macOS.
Paket program berbahaya yang tidak dikenal sebelumnya ini didistribusikan secara diam-diam melalui aplikasi bajakan, dan menargetkan aset kripto pengguna macOS yang berada di dompet digital.
Ancaman baru ini berfokus pada kompromi terhadap trojan tersebut, berbeda dengan trojan proxy yang telah ditemukan sebelumnya oleh Kaspersky.
Trojan kripto ini berbeda dalam dua hal. Pertama, ia mengirimkan skrip Python berbahayanya menggunakan catatan DNS.
Kedua, ia mencuri dompet kripto dan menggantikan aplikasi dompet dengan versinya yang terinfeksi.
Ini memungkinkan pencurian kata-kata rahasia yang digunakan untuk mengakses aset kripto yang disimpan di dompet.
Malware ini berfokus pada pengguna sistem operasi yang lebih baru, khususnya pada perangkat Intel dan Apple Silicon, khususnya macOS versi 13.6 dan yang lebih baru.
Dengan menggunakan versi aplikasi yang telah dikompromikan sebelumnya, penyerang membuat file yang dapat dieksekusi tidak berfungsi hingga pengguna menjalankan aktivator.
Ini memastikan aplikasi yang disusupi diaktifkan secara tidak sadar oleh pengguna.
Setelah perbaikan, malware memulai muatan utamanya mengumpulkan data TXT DNS untuk domain berbahaya dan mendekripsi skrip Python dari domain tersebut.
Kemudian, malware terus mencoba mengunduh tahap berikutnya dari rantai infeksi, yang juga berisi skrip Python.
Meskipun selama penyelidikan tidak ada perintah yang diterima dan backdoor diperbarui secara teratur, tujuan dari payload berikutnya adalah untuk menjalankan perintah sewenang-wenang yang dikirim dari server. (*)
