Krypto über DNS stehlen

Sie bekommen, wofür Sie bezahlt haben: Geklaute macOS-Apps rufen Schadcode aus DNS-Einträgen ab, um Krypto zu stehlen

Der Einsatz von geklauten Spielen oder Apps zur Verbreitung von Schadsoftware gehört zu den ältesten Tricks der Cyberkriminellen. So unglaublich es klingen mag, aber es gibt auch im Jahr 2024 leichtgläubige Opfer, die an Robin Hood glauben und den Download von Crack-Software und Spielen von raubkopierten Websites für absolut sicher halten. Die Art der Bedrohung selbst mag alt sein, aber die Schadakteure lassen sich immer wieder neue Wege einfallen, um die Sicherheitsvorkehrungen auf den Computern der Opfer zu umgehen und Schadsoftware einzuschleusen.

Wir haben vor Kurzem eine neue Kampagne dieser Art aufgedeckt, die sich an Apple-Computer richtet, auf denen neuere macOS-Versionen (13.6 und höher) ausgeführt werden und die bestimmte DNS-Funktionen (Domain Name System) nutzen, um schädliche Payloads herunterzuladen. Den potenziellen Opfern wird angeboten, geklaute Versionen beliebter Apps kostenlos herunterzuladen. Was also erwartet diejenigen, die dieser Versuchung nicht widerstehen können?

Gefälschte Aktivierung

Nach dem Herunterladen eines Festplatten-Images, das die Crack-App enthalten soll, wird das Opfer aufgefordert, zwei Dateien in den Programmordner zu kopieren: die App selbst und einen sogenannten „Aktivator“. Wenn Sie die App einfach nur kopieren und starten, lässt sie sich nicht ausführen. Laut Handbuch muss die geklaute App zuerst „aktiviert“ werden. Unsere Analyse ergab, dass der Aktivator keine ausgeklügelten Funktionen hat: Er entfernt lediglich einige Bytes am Anfang der ausführbaren Datei, um sie funktionsfähig zu machen. Mit anderen Worten: Die Cyberkriminellen haben eine zuvor geklaute App so modifiziert, dass sie erst ausgeführt werden kann, nachdem sie „aktiviert“ wird. Es überrascht nicht, dass der Aktivator einen unangenehmen Nebeneffekt hat: Er fragt nach Administratorberechtigungen, wenn er ausgeführt wird, und verwendet diese, um ein Downloader-Skript im System zu installieren. Anschließend lädt das Skript eine weitere Payload aus dem Web herunter – eine Backdoor oder Hintertür, die ab und zu Befehle von ihren Operatoren anfordert.

Installationshandbuch, Aktivierungsfenster und Aufforderung zur Eingabe des Administratorpassworts

Installationshandbuch, Aktivierungsfenster und Aufforderung zur Eingabe des Administratorpassworts

 

Verlinkung über DNS

Um das schädliche Skript herunterzuladen, verwendet der Aktivator ein ebenso exotisches wie unschuldig wirkendes Tool: das Domain Name System (DNS). Wir haben bereits über DNS und Secure DNS geschrieben, aber eine interessante technische Funktion des Dienstes ausgelassen. Jeder DNS-Eintrag verknüpft nicht nur den Internet-Namen eines Servers mit seiner IP-Adresse, sondern kann auch eine frei formatierte Textbeschreibung des Servers enthalten – einen sogenannten TXT-Datensatz. Genau das nutzen die Schadakteure aus, indem sie Schnipsel von Schadcode in TXT-Datensätze einbetten. Der Aktivator lädt drei TXT-Einträge herunter, die zu einer schädlichen Domäne gehören, und stellt daraus ein Skript zusammen.

Obwohl es kompliziert erscheint, hat das Setup eine Reihe von Vorteilen. Zunächst macht der Aktivator nichts besonders Verdächtiges: Eine beliebige Webanwendung fordert DNS-Einträge an – jede Kommunikationssitzung beginnt damit. Zweitens können die Angreifer das Skript leicht aktualisieren, um das Infektionsmuster und die endgültige Payload zu ändern, indem sie die TXT-Datensätze der Domäne bearbeiten. Und schließlich ist es aufgrund der weiten Verteilung des Domain Name Systems keine leichte Aufgabe, schädliche Inhalte aus dem Web zu entfernen. Internet Service Provider und Unternehmen können einen Verstoß gegen ihre Richtlinien nur schwer erkennen, da jeder dieser TXT-Datensätze nur ein Ausschnitt aus dem Schadcode ist und für sich betrachtet keine Bedrohung darstellt.

Das letzte Wort

Das in regelmäßigen Abständen ausgeführte Download-Skript ermöglicht es Angreifern, die Schadsoftware zu aktualisieren und auf dem Computer des Opfers beliebige Aktionen auszuführen. Zum Zeitpunkt unserer Analyse waren sie vor allem an dem Diebstahl von Kryptowährung interessiert. Die Backdoor durchsucht den Computer des Opfers automatisch nach Exodus- oder Bitcoin-Wallets und ersetzt diese durch trojanisierte Versionen. Ein infiziertes Exodus-Wallet stiehlt die Seedphrase des Benutzers und ein infiziertes Bitcoin-Wallet den Chiffrierschlüssel, der verwendet wird, um private Schlüssel zu verschlüsseln. Letzteres gibt Angreifern die Möglichkeit, Überweisungen im Namen des Opfers zu signieren. So kann man versuchen, ein paar Dutzend Euro für raubkopierte Apps zu sparen – und verliert im Gegenzug einen viel größeren Kryptobetrag.

So schützen Sie sich vor einem Angriff auf Ihre Krypto-Wallets

Der Tipp ist nicht neu, aber noch immer wahr: Um sich dieser Bedrohung zu entziehen und nicht zum Opfer zu werden, sollten Sie Apps nur von offiziellen Marktplätzen herunterladen. Bevor Sie eine App von der Website eines Entwicklers herunterladen, vergewissern Sie sich, dass es sich um ein Originalprodukt handelt und nicht von einer der vielen Phishing-Websites kommt.

Überlegen Sie sich gut, ob sie die geklaute Version einer App wirklich herunterladen sollten. „Skrupellose und vertrauenswürdige“ Raubkopien sind so selten wie Elfen und Einhörner.

Ganz gleich, wie hoch Sie Ihre Computerkenntnisse, Vorsicht und Liebe zum Detail einschätzen, prüfen Sie noch einmal, ob wirklich alle Ihre Geräte umfassend geschützt sind: Telefone, Tablets und Computer. Kaspersky Premium ist eine gute plattformübergreifende Lösung. Stellen Sie sicher, dass alle grundlegenden und erweiterten Sicherheitsfunktionen aktiviert sind. Den Besitzern von Kryptowährung empfehlen wir zusätzlich zu den oben genannten Informationen unsere detaillierten Anweisungen zum Schutz von Hot und Cold Krypto-Wallets.

Tipps