破解的 macOS 应用程序利用恶意软件窃取加密钱包信息

关键要点

根据 BleepingComputer 的报道，威胁行为者利用破解的 macOS 软件分发信息窃取类恶意软件，目标是运行至少 macOS Ventura 版本的设备上的加密货币钱包。恶意软件的感染开始于它在应用程序文件夹中的放置，伪装成一个破解的应用激活工具，随后会弹出一个虚假的激活器窗口，要求输入管理员密码，Kaspersky 的报告指出。研究人员表示，提供密码会触发一个“工具”可执行文件。攻击者通过硬编码列表中的单词和随机字母建立指挥与控制服务器的通信，使用这些信息作为第三层域名，掩盖其恶意活动，并启用从 DNS 服务器下载伪装成 TXT 记录的 Python 脚本载荷。这一过程进一步促使下载具有更高级威胁能力的其他 Python 脚本。

脏程序的后门脚本的进一步检查揭示了其具备扫描和攻破 Bitcoin Core 和 Exodus 钱包的功能。攻击者能够获取钱包的密码、种子短语、名称和余额，带来重大安全风险。以下是该恶意软件工作的简要概述：

操作步骤描述伪装伪装成破解激活工具窃取密码诱导用户输入管理员密码建立通信通过 DNS 记录发送信息下载载荷下载含有高级威胁能力的脚本突破钱包扫描并窃取加密货币钱包信息

这种类型的攻击提醒用户需要谨慎下载和安装软件，尤其是来自不明来源的软件。保持系统和软件的安全性是保护加密资产的关键。