Pozor na macOS backdoor, který se objevuje v pirátském softwaru

Zpět na blog

V pirátských aplikacích určených pro Apple macOS byl objeven backdoor, který umožňuje útočníkům vzdáleně ovládat infikované počítače.

Výzkumníci z Jamf Threat Labs, Ferdous Saljooki a Jaron Bradley, upozornili: „Po aktivaci malware stahuje a spouští v pozadí několik zátěžových modulů, aby tajně kompromitoval stroj oběti,“ uvedli.

Backdoorové diskové obrazy (DMG), které byly upraveny tak, aby navázaly komunikaci s infrastrukturou ovládanou útočníkem, obsahují legitimní software jako Navicat Premium, UltraEdit, FinalShell, SecureCRT a Microsoft Remote Desktop.

Nepodepsané aplikace, které jsou hostovány na čínské webové stránce macyy[.]cn, obsahují složku „dylib“, která se spouští pokaždé, když je aplikace otevřena. Tato složka poté funguje jako prostředek k získání backdooru (bd.log) a stahovače (fl01.log) ze vzdáleného serveru, které se používají mimo jiné ke stahování dalších zátěžových modulů na kompromitovaný stroj.

Backdoor – uložený v cestě /tmp/.test – je plně funkční a postaven na open-source post-exploitační sadě nástrojů nazvané Khepri. Fakt, že se nachází v adresáři /tmp, znamená, že bude smazán při vypnutí systému. Nicméně bude opět vytvořen na stejném místě, jakmile je pirátská aplikace znovu načtena a spustí se dropper.

Na druhé straně, stahovač je uložen ve skryté cestě /Users/Shared/.fseventsd, poté vytvoří LaunchAgent pro zajištění trvalosti a odešle HTTP GET požadavek na server ovládaný útočníkem.

I když server již není přístupný, stahovač je navržen tak, aby zapsal HTTP odpověď do nového souboru umístěného v /tmp/.fseventsds a poté ho spustil.

Jamf uvedl, že malware má několik podobností se ZuRu, který se v minulosti objevil při šíření prostřednictvím pirátských aplikací na čínských stránkách. „Je možné, že tento malware je nástupcem ZuRu malwaru vzhledem k jeho cíleným aplikacím, modifikovaným načítacím příkazům a infrastruktuře útočníka,“uvedli výzkumníci.

Tyto hrozby zdůrazňují význam používání ověřeného softwaru, pravidelných aktualizací a vzdělávání zaměstnanců o kybernetických hrozbách. Je nezbytné investovat do robustních bezpečnostních řešení a mít připravený plán na reakci na incidenty. Spolupráce a sdílení informací v oblasti bezpečnosti hrají klíčovou roli v budování silné obrany proti stále sofistikovanějším kybernetickým útokům.

Zdroj ilustračního obrázku: Ales Nesetril on Unsplash

Zdroj: The Hacker News

1. 2. 2024