Egy a valódi Bitcoin-tárcaként ismert BlueWallet nevével visszaélő, hamis weboldal a Mac-felhasználókat veszi célba. Maga a BlueWallet nem kompromittálódott, a kiberbűnözők csupán a legitim szolgáltatás nevét és arculati elemeit használják fel arra, hogy a rosszindulatú letöltés megbízhatónak tűnjön.

Amennyiben valaki kriptovaluta-tárcát keresve erre a hamis letöltési oldalra tévedt, a webhely arra próbálta rávenni, hogy egy letöltött fájlt a macOS egyik beépített eszközével nyisson meg, majd kattintson a „Run” (Futtatás) gombra. Ha a felhasználó követte az utasításokat, a kártevő képes lehetett arra, hogy megszerezze a mentett jelszavakat, a böngészőkben tárolt bejelentkezési adatokat, a kriptotárcákat, a dokumentumokat és más érzékeny információkat. A kártevő emellett figyeli a vágólapot is: ha kriptovaluta-címet észlel, azt a támadó által kontrollált címre cserélheti. Ez a funkció különösen veszélyes, mivel, ha a felhasználó egy tárcacímet másolt ki pénzküldés előtt, a kártevő észrevétlenül lecserélhette azt a támadó címére. Látszólag minden a megszokott módon zajlik, a tranzakció azonban nem a kívánt címre, hanem a támadó által irányított tárcába érkezik.

Mikor aggódjunk?

Aggodalomra akkor van ok, ha a felhasználó a fájlt letöltötte és futtatta. A weboldal meglátogatása és bezárása önmagában nem okoz fertőzést. A támadás sikeressége teljes mértékben azon múlik, hogy a felhasználó elindítja-e a szkriptet és engedélyezi-e a futtatását.

Ha ez megtörtént, a rendszert kompromittáltnak kell tekinteni, és az alábbi lépések végrehajtása javasolt.

Mit tegyünk fertőzés gyanúja esetén?

• Azonnal válasszuk le a gépet a hálózatról, ezzel megszakítva a támadóval fenntartott kommunikációs csatornát.
• Naprakész biztonsági szoftverrel végezzünk teljes rendszerellenőrzést
• Egy másik, megbízható eszközről módosítsuk az érintett Mac eszközön használt fiókok jelszavait, elsősorban az e-mail-fiókokhoz és a kriptotőzsdékhez kapcsolódó hozzáféréseket.
• A kriptovalutákat helyezzük át egy új, biztonságos eszközön létrehozott tárcába.
• A meglévő seed phrase-eket és privát kulcsokat tekintsük kompromittáltnak.
• A jövőbeli tranzakciók előtt karakterről karakterre ellenőrizzük a célcímet.
• Vizsgáljuk át a ~/Library/LaunchAgents könyvtárat ismeretlen fájlok után.
• Ellenőrizzük a /tmp könyvtárat rejtett sysupd.sh fájl után kutatva.
• Ha a gépen megtalálhatók az .ssh, .aws vagy .gnupg állományok, cseréljük le az ezekhez kapcsolódó hitelesítő adatokat és hozzáférési kulcsokat.
• Kétség esetén készítsünk biztonsági mentést az adatokról, majd megbízható forrásból telepítsük újra a macOS-t, a rendszer helyreállításának megkísérlése helyett.

A social engineering technika szerepe

A kampány legérdekesebb része nem technikai jellegű. A támadók nem törték fel a macOS-t, és nem kerülték meg az Apple biztonsági mechanizmusait. Ehelyett a felhasználókat vették rá arra, hogy saját maguk futtassák a kártevőt.

A hamis weboldal meggyőző letöltési felülettel, egyszerűen, lépésről-lépésre vezette végig a felhasználót a fertőzés folyamatán. A támadás sikerének kulcsa a bizalom volt.

Ahogy az operációs rendszerek egyre hatékonyabban blokkolják a rosszindulatú szoftvereket, a támadók egyre nagyobb hangsúlyt fektetnek a social engineering technikákra. Ahelyett, hogy a biztonsági védelmeket próbálnák megkerülni, inkább a felhasználókat veszik rá azok figyelmen kívül hagyására. Ezért válik egyre fontosabbá egy alapvető biztonsági szabály: minden olyan letöltést gyanakvással kell kezelni, amelynek futtatásához szkriptszerkesztő, fejlesztői eszköz vagy a Terminál megnyitása, majd a „Run” gomb megnyomása szükséges.