More

    Stručnjaci upozoravaju na macOS backdoor skriven u piratskim verzijama popularnog softvera

    Primijećeno je da piratske aplikacije koje ciljaju korisnike Apple macOS-a sadrže backdoor koji napadačima daje daljinsku kontrolu nad zaraženim mašinama.

    “Ove aplikacije se hostuju na kineskim piratskim web stranicama kako bi se pronašle žrtve”, rekli su istraživači Jamf Threat Labs-a Ferdous Saljooki i Jaron Bradley.

    “Kada detonira, malver će preuzeti i izvršiti više payload-a u pozadini kako bi tajno ugrozio žrtvinu mašinu.”

    Datoteke slike diska sa backdoor-om (DMG), koje su modifikovane za uspostavljanje komunikacije s infrastrukturom koju kontrolišu hakeri, uključuju legitiman softver poput Navicat Premium, UltraEdit, FinalShell, SecureCRT i Microsoft Remote Desktopa.

    Nepotpisane aplikacije, osim što se nalaze na kineskoj web stranici pod nazivom macyy[.]cn, uključuju komponentu droppera pod nazivom “dylib” koja se izvršava svaki put kada se aplikacija otvori.

    Dropper tada djeluje kao kanal za preuzimanje backdoor-a (“bd.log”) kao i programa za preuzimanje (“fl01.log”) sa udaljenog servera, koji se koristi za uspostavljanje postojanosti i dohvaćanje dodatnih payload-a na kompromitovanoj mašini.

    Backdoor – upisan na putanji „/tmp/.test“ – je potpuno opremljen i izgrađen povrh alata otvorenog koda za post-eksploataciju pod nazivom Khepri. Činjenica da se nalazi u direktoriju “/tmp” znači da će biti izbrisan kada se sistem isključi.

    Uz to, bit će ponovo kreiran na istoj lokaciji sljedeći put kada se piratska aplikacija učita i izvrši dropper.

    S druge strane, program za preuzimanje je upisan na skrivenu putanju “/Users/Shared/.fseventsd”, nakon čega kreira LaunchAgent kako bi osigurao postojanost i šalje HTTP GET zahtjev serveru koji kontroliše haker.

    Iako server više nije dostupan, program za preuzimanje je dizajniran da upiše HTTP odgovor u novu datoteku koja se nalazi na /tmp/.fseventsds i zatim je pokrene.

    Jamf je rekao da malver ima nekoliko sličnosti sa ZuRu-om, koji je primijećen u prošlosti kako se širi putem piratskih aplikacija na kineskim stranicama.

    „Moguće je da je ovaj malver naslednik ZuRu malvera s obzirom na njegove ciljane aplikacije, modifikovane komande učitavanja i infrastrukturu napadača“, rekli su istraživači.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories