Identifikovan je novi, vrlo sofisticirani maliciozni softver poznat kao Tiny FUD, koji cilja korisnike macOS-a s naprednim tehnikama izbjegavanja koje mu omogućavaju da zaobiđe tradicionalne antivirusne i sigurnosne alate.
Ovaj maliciozni softver koristi lažno ime procesa , DYLD injekciju i izvršavanje naredbi zasnovano na C2 kako bi ostao neotkriven.
Iako je ovaj maliciozni softver posebno opasan zbog svoje sposobnosti da zaobiđe antivirusne i sigurnosne alate , što ga čini gotovo neotkrivenim.
Istraživački tim Denwp-a je primijetio da je Tiny FUD dizajniran da bude “potpuno neotkriven” (FUD), koristeći nekoliko skrivenih mehanizama kako bi izbjegao otkrivanje.
Lanac napada
Detect It Easy (DIE) je omogućio statičku analizu binarne datoteke, otkrivajući njen razvoj sa modernim macOS alatima, možda Xcodeom.
Prisustvo kodnog dizajna ukazuje na to da je binarni zapis potpisan, potencijalno da zaobiđe sigurnosne funkcije macOS-a kao što su Gatekeeper i SIP.
.webp)
Ovaj uvid pomaže identifikovati porijeklo malicioznog softvera i strategije izbjegavanja.
- Lažnjavanje naziva procesa : maliciozni softver mijenja naziv procesa kako bi oponašao legitimne Apple usluge, kao što su
com.apple.Webkit.Networking,com.apple.Safari.helper,com.apple.security.agentilicom.apple.system.events.
Ovo se postiže pomoću osascriptnaredbe, što otežava identifikaciju u Monitoru aktivnosti.
.webp)
osascript -e 'tell application "System Events" to set name of first process whose unix id of (processes) is (unix id of (current application)) to "com.apple.Webkit.Networking"'- DYLD Injection : Tiny FUD koristi varijablu okruženja DYLD za ubacivanje malicioznih biblioteka u legitimne procese. Ova tehnika iskorištava ranjivosti kao što je CVE-2022-26712 i olakšava je
DYLD_INSERT_LIBRARIESvarijabla okruženja.
DYLD_INSERT_LIBRARIES=/System/Library/PrivateFrameworks/ShoveService.framework/ShoveService- Izvršenje C2 komande : Maliciozni softver uspostavlja vezu sa serverom za komandu i kontrolu (C2) na tvrdo kodiranoj IP adresi (
69[.]197[.]175[.]10:9999) za primanje i izvršavanje komandi. Ovo uključuje snimanje snimaka ekrana i njihovo slanje nazad na C2 server.
// Hardcoded C2 IP and Port
char *c2_ip = "69.197.175.10";
int c2_port = 9999;Maliciozni softver koristi prikrivene mehanizme samopotpisivanjem, pri čemu se sam povlači s dodatnim pravima za vrijeme izvršavanja.
.webp)
Ovaj proces omogućava maliciozino softveru da onemogući zaštitu izvršne stranice i omogući DYLD varijable okruženja, što postiže generiranjem datoteke ovlaštenja zasnovane na XML-u.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>com.apple.security.cs.allow-unsigned-executable-memory</key>
<true/>
<key>com.apple.security.cs.disable-executable-page-protection</key>
<true/>
<key>com.apple.security.cs.allow-dyld-environment-variables</key>
<true/>
<key>com.apple.security.get-task-allow</key>
<true/>
<key>com.apple.security.cs.debugger</key>
<true/>
</dict>
</plist>Zlonamjerni softver se skriva od Finder-a postavljanjem nevidljivog atributa pomoću naredbe SetFile.
SetFile -a V "/path/to/malware"Korisnicima se savjetuje da ostanu na oprezu i osiguraju da su njihovi sistemi ažurirani najnovijim sigurnosnim zakrpama. Osim toga, ključna je upotreba naprednih sigurnosnih alata koji mogu otkriti i ublažiti takav prikriveni maliciozni softver.
Izvor: CyberSecurityNews