A Bybit közzétette egy több szakaszból álló macOS malware kampány részleteit, amely a „Claude Code” néven ismert, az Anthropic által fejlesztett AI-eszközt kereső felhasználókat célozza meg, áll a Biztonsági Operációs Központ (SOC) által április 21-én közölt eredményekben, amelyeket a Finbolddal is megosztottak.
A vállalat szerint a kampány az első nyilvánosan dokumentált esetek egyike, amikor egy központosított kriptotőzsde (CEX) egy aktív fenyegetést azonosított és elemzett, amely az AI-eszköz felfedezési csatornáit kihasználva célozza meg a fejlesztőket.
A Bybit szerint a kampányt először 2026 márciusában azonosították, és keresőmotor-optimalizációs (SEO) mérgezésre támaszkodott, hogy egy rosszindulatú domaint a Google keresési eredmények élére emeljen. Az „Claude Code” után kutató felhasználókat egy hamis telepítési oldalra irányították át, amely szorosan hasonlít a valódi dokumentációra.
Többfázisú malware lánc célozza a hitelesítő adatokat és kriptotárcákat
A Bybit elemzése szerint a támadás egy két szakaszból álló malware-láncot indított el. Az első payload, amelyet egy Mach-O dropper továbbított, egy osascript-alapú infostealer-t telepített, amely hasonló jellemzőket mutatott, mint az ismert AMOS és Banshee variánsok.
Az infostealer egy többlépcsős obfuszkációs folyamatot hajtott végre, hogy érzékeny adatokat vonjon ki, beleértve a böngésző hitelesítő adatokat, a macOS Keychain bejegyzéseket, a Telegram munkameneteket, VPN-profilokat és kriptotárca-információkat. A Bybit kutatói több mint 250 böngésző-alapú tárcakiterjesztés elleni célzott hozzáférési kísérletet azonosítottak, valamint több asztali tárca-alkalmazást.
Egy második szakaszbeli payload egy C++-alapú backdoort vezetett be, amely fejlett elkerülési technikákat, például sandbox-érzékelést és titkosított runtime-konfigurációt alkalmazott. A malware fennmaradást biztosított rendszer szintű ügynökökön keresztül, és lehetővé tette a távoli parancsvégrehajtást HTTP-alapú pollinggal, lehetővé téve a támadók számára a kompromittált eszközök folyamatos irányítását.
A nyomozás során szociális mérnöki taktikákra is fény derült, beleértve a hamis macOS-jelszó felugró ablakokat, amelyeket a felhasználói hitelesítő adatok érvényesítésére és gyorsítótárba helyezésére használtak. Bizonyos esetekben a támadók megpróbálták helyettesíteni a valódi tárca-alkalmazásokat, mint például a Ledger Live és a Trezor Suite, trójai változatokkal, amelyeket rosszindulatú infrastruktúrán tároltak.
AI-val támogatott elemzés gyorsítja a felismerést és a válaszadást
A Bybit szerint a SOC AI-támogatott munkafolyamatokat alkalmazott a teljes malware-elemzési életciklus során, jelentősen csökkentve a válaszidőt, miközben megőrizve az elemzési mélységet. Az elsődleges válogatás és a Mach-O-minta osztályozása percek alatt befejeződött, az AI-modellek pedig viselkedési hasonlóságokat jelöltek meg ismert malware-családokkal.
A vállalat szerint az AI-val támogatott visszafejtés és vezérlési folyamat-elemzés csökkentette a második szakasz backdoor mélyreható vizsgálatát a becsült hat-nyolc óráról kevesebb mint 40 percre. Az automatizált kinyerési csatornák azonosították a kompromittálás indikátorait, beleértve a parancsvezérlés infrastruktúráját, fájl aláírásokat és viselkedési mintákat, amelyeket meghatározott fenyegetési keretrendszerekhez térképeztek fel.
Ezek a képességek lehetővé tették a felismerő intézkedések aznap történő bevezetését. Az AI-val támogatott szabálygenerálás támogatta a fenyegetési aláírások és végponti észlelési szabályok létrehozását, amelyeket elemzők érvényesítettek, mielőtt a termelési környezetekbe kerültek volna. A Bybit szerint az AI által generált jelentési tervezetek csökkentették az átfutási időt, lehetővé téve a fenyegetésintelligencia kimenetek körülbelül 70%-kal gyorsabb véglegesítését, mint a hagyományos munkafolyamatok.
A Bybit közlése szerint a rosszindulatú kampány több környezetet célzott, köztük Chromium-alapú böngészőket, Firefox-változatokat, a Safari adatait, az Apple Notes tartalmait és olyan helyi fájlmappákat, amelyeket gyakran érzékeny pénzügyi vagy hitelesítési információk tárolására használnak. A vállalat azt írta, hogy a kapcsolódó infrastruktúrát 2026. március 12-én azonosította, és még aznap lezárta a teljes elemzést, az elhárítást és a belső észlelési intézkedések bevezetését.
A vállalat közölte, hogy a kampányhoz több domain és vezérlő szerverhez kapcsolódó végpont tartozott. A Bybit szerint ezeket az azonosított domaineket és command-and-control végpontokat azóta nyilvános közzététel céljából hatástalanították.
Az elemzés a vállalat szerint azt mutatta, hogy a támadók nem tartós kapcsolatokat használtak, hanem szakaszos HTTP-lekérdezésekre támaszkodtak. A Bybit ezt olyan működési módként írta le, amely megnehezítette az észlelést.
A kriptomagazin.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást. Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptomagazin.hu felelősséget nem vállal.
