Как украсть крипту через DNS

Скупой платит дважды: взломанные приложения для MacOS воруют криптовалюту, скачивая вредоносный код из DNS-записей

Кража крипты из кошельков Exodus и Bitcoin через взломанные приложения macOS

Распространение зловредов вместе со взломанными играми или приложениями — один из старейших трюков киберпреступников. Удивительно, но даже в 2024 году находятся доверчивые жертвы, верящие в Робин Гудов и предполагающие, что скачивать взломанные платные программы и игры с пиратских сайтов совершенно безопасно. Однако, хотя эта угроза и стара, злоумышленники постоянно изобретают новые приемы для доставки вредоносного ПО на компьютер жертвы в попытке обойти защитные решения.

Недавно мы обнаружили новую кампанию такого рода, нацеленную на компьютеры Apple со свежими версиями macOS (13.6 и выше) и использующую особенности устройства сервиса доменных имен (DNS) для скачивания вредоносной нагрузки. Жертвам предлагается бесплатно скачать взломанные версии популярных приложений. Что ждет тех, кто поддастся искушению?

Фальшивая активация

После скачивания образа диска, предположительно содержащего взломанную программу, жертве предлагается скопировать в папку Applications два файла: само приложение и программу-«активатор». Если скопировать и запустить только приложение, оно не заработает. Инструкция гласит, что взломанную программу обязательно надо «активировать». Как выяснилось при анализе, функция активатора примитивна — он убирает в исполняемом файле приложения несколько начальных байтов, после чего оно начинает работать. То есть преступники взяли уже взломанное приложение и изменили его так, чтобы без активатора оно не могло запуститься. Разумеется, активатор имеет неприятную дополнительную функцию — при запуске он запрашивает права администратора и, пользуясь ими, устанавливает в системе скрипт-загрузчик. Этот скрипт скачивает из Сети дополнительную вредоносную нагрузку — бэкдор, регулярно запрашивающий команды от злоумышленников.

Инструкция по установке, окно активатора и запрос пароля администратора

Инструкция по установке, окно активатора и запрос пароля администратора

Связь через DNS

Чтобы скачать вредоносный скрипт, активатор обращается к достаточно экзотическому и невинно выглядящему инструменту — сервису доменных имен (DNS). Мы писали про DNS и безопасный DNS ранее, но не затрагивали интересную техническую особенность сервиса. Каждая DNS-запись не только связывает интернет-имя сервера с его IP-адресом, но и может содержать произвольное текстовое описание сервера, так называемую TXT-запись. И этим воспользовались злоумышленники, разместив в TXT-записях фрагменты вредоносного кода. Активатор загружает три TXT-записи вредоносного домена и собирает из них готовый скрипт.

Эта сложная на вид схема имеет ряд преимуществ. Во-первых, активатор не делает ничего особо подозрительного — обращение к DNS-записям ведут любые интернет-приложения, с этого обязан начинаться любой сеанс связи. Во-вторых, злоумышленники могут легко обновлять скрипт, чтобы модифицировать схему заражения и финальную вредоносную нагрузку, изменяя TXT-записи домена. В-третьих, удалить вредоносное содержимое из Сети не так уж просто из-за распределенной структуры сервиса доменных имен. А для интернет-провайдеров и компаний сложно даже заметить нарушение их политик, ведь каждая подобная TXT-запись — лишь фрагмент вредоносного кода, который сам по себе угрозы не представляет.

Финальный босс

Благодаря периодически запускаемому сценарию скачивания скрипта, злоумышленники могут обновлять вредоносную нагрузку и выполнять на компьютере жертвы любые нужные им действия. Но на момент нашего анализа их интересовала кража криптовалюты. Бэкдор в автоматическом режиме ищет на компьютере жертвы криптокошельки Exodus или Bitcoin и подменяет их приложения на троянизированные версии. Зараженный кошелек Exodus ворует ключевую фразу (seed phrase), а зараженный Bitcoin-кошелек — ключ шифрования, которым зашифрованы приватные ключи, что позволяет атакующим подписывать переводы от имени жертвы. Таким образом, «сэкономив» несколько десятков долларов на взломанных приложениях, можно потерять на порядок больше в крипте.

Как защититься от атаки на криптокошелек

Скажем банальное: чтобы избежать угрозы и не стать жертвой преступников, нужно скачивать приложения только из официальных магазинов приложений. Если вы хотите скачать приложение с сайта разработчика, убедитесь, что вы попали на настоящий сайт, а не на один из многочисленных сайтов-подделок.

Если же вы задумались о том, чтобы скачать взломанную версию приложения — передумайте. «Честные и заслуживающие доверия» сайты с пиратской продукцией встречаются не чаще единорогов и эльфов.

Вне зависимости от того, что вы думаете о своей технической грамотности, осторожности и внимательности, обязательно используйте комплексную защиту на всех своих устройствах: телефонах, планшетах и компьютерах. Хорошим кросс-платформенным решением станет Kaspersky Premium. При этом важно убедиться, что все основные и дополнительные функции защиты активированы. А владельцам крипты рекомендуем дополнительно изучить наши подробные инструкции по защите горячих и холодных криптокошельков.

Советы