I ricercatori di Kaspersky hanno scoperto una nuova campagna messa in atto da ignoti cybercriminali con l’obiettivo di rubare criptovalute dai wallet, sfruttando software pirata per macOS. Le vittime credono di usare un attivatore, ma in realtà avviano la catena di infezione all’installazione di un crypto drainer.
Mai scaricare software pirata
Gli esperti di Kaspersky hanno individuato software pirata, distribuito in formato PKG, con un tool denominato Activator.app che serve per l’attivazione. Quando l’ignara vittima apre il file PKG viene mostrata una schermata con le istruzioni da seguire, tra cui lo spostamento del tool nella directory Application.
All’avvio viene chiesto all’utente di inserire la password di amministratore per avviare la procedura di cracking. In realtà, il software è “pre-craccato” e il tool effettua il collegamento al server C2 (command and control), dal quale scarica uno script Python. Quest’ultimo è un downloader che preleva dal server remoto un secondo script Python, ovvero la backdoor che mantiene l’accesso al Mac.
Il malware inizia quindi a raccogliere informazioni dal dispositivo, tra cui versione del sistema operativo, elenco delle applicazioni installate, tipo di CPU e indirizzo IP. Lo script stabilisce anche la persistenza (esecuzione automatica all’avvio) e cerca la presenza di wallet Bitcoin Core e Exodus. Se trovati vengono sostituiti da versioni infette che inviano password, saldo, nome e seed phrase al server C2.
Quando l’ignara vittima effettua l’accesso, il wallet viene svuotato dai cybercriminali. I software pirata sono uno dei mezzi preferiti per distribuire malware, quindi è meglio evitare il download da fonti non ufficiali.