黑客正通过隐藏恶意脚本的DNS记录，向macOS用户传递信息窃取恶意软件。该活动似乎针对 macOS Ventura 及更高版本的用户，并依赖重新打包为包含木马的 PKG 文件的破解应用程序。

攻击详情

研究人员发现分析了感染链的各个阶段。受害者按照安装说明将其放入 /Applications/ 文件夹后下载并执行。其实，这是打开了一个伪造的激活器窗口，要求输入管理员密码。

激活器窗口和密码提示 

获得许可后，恶意软件会通过“AuthorizationExecuteWithPrivileges”函数运行“工具”可执行文件 (Mach-O)，然后检查系统上是否有 Python 3，如果不存在则安装它，使该过程看起来像“应用程序修补”。

接下来，恶意软件会联系其命令和控制 (C2) 服务器（位于一个名为“ apple-health[.]org ”的欺骗性站点），以获取可在受攻击设备上运行任意命令的 base64 编码的 Python 脚本。

研究人员发现，攻击者使用了一种有趣的方法来通过正确的 URL 联系 C2 服务器：选取两个硬编码列表的单词和五个字母的随机序列作为三级域名。通过此 URL，样本向 DNS 服务器发出请求，试图获取该域的 TXT 记录”

通过使用这种方法，攻击者能够将其活动隐藏在流量中，并从 DNS 服务器下载伪装成 TXT 记录的 Python 脚本有效负载，并会显示为正常请求。

来自 DNS 服务器的回复包含三个 TXT 记录，每个记录都是包含 Python 脚本的 AES 加密消息的 Base64 编码片段。

Python 脚本负载隐藏在加密消息中

此初始 Python 脚本充当另一个 Python 脚本的下载程序，该脚本提供后门访问、收集和传输有关受感染系统的信息，例如操作系统版本、目录列表、已安装的应用程序、CPU 类型和外部 IP 地址。

“工具”可执行文件还会修改“/Library/LaunchAgents/launched.

研究人员指出，在检查过程中，C2 返回了后门脚本的升级版本，持续开发，但没有观察到命令执行。

下载的脚本还包含两个函数，用于检查受感染系统是否存在 Bitcoin Core 和 Exodus 钱包；如果找到，它会将它们替换为从“apple-analyzer[.]com”下载的后门副本。 

获取系带钱包应用程序 

系带钱包包含将助记词、密码、名称和余额发送到攻击者的 C2 服务器的代码。

从受害者那里窃取的数据 

当钱包应用程序意外，提示重新输入钱包详细信息时，就会面临钱包被掏空的风险。

研究人员表示，用于此次活动的破解应用程序（在他们的报告中作为妥协指标）“是威胁分子访问用户计算机的最简单方法之一”。

尽管使用破解的应用程序欺骗用户来传播恶意软件，是一种常见的攻击途径，但相关分析的活动表明，攻击者可以巧妙地想出新的方法来传播有效负载，例如将其隐藏在域 TXT 记录中的DNS 服务器内。

参考及来源：https://www.bleepingcomputer.com/news/security/cracked-macos-apps-drain-wallets-using-scripts-fetched-from-dns-records/