Primijećeno je da piratske aplikacije koje ciljaju korisnike Apple macOS-a sadrže backdoor koji napadačima daje daljinsku kontrolu nad zaraženim mašinama.
“Ove aplikacije se hostuju na kineskim piratskim web stranicama kako bi se pronašle žrtve”, rekli su istraživači Jamf Threat Labs-a Ferdous Saljooki i Jaron Bradley.
“Kada detonira, malver će preuzeti i izvršiti više payload-a u pozadini kako bi tajno ugrozio žrtvinu mašinu.”
Datoteke slike diska sa backdoor-om (DMG), koje su modifikovane za uspostavljanje komunikacije s infrastrukturom koju kontrolišu hakeri, uključuju legitiman softver poput Navicat Premium, UltraEdit, FinalShell, SecureCRT i Microsoft Remote Desktopa.
Nepotpisane aplikacije, osim što se nalaze na kineskoj web stranici pod nazivom macyy[.]cn, uključuju komponentu droppera pod nazivom “dylib” koja se izvršava svaki put kada se aplikacija otvori.
Dropper tada djeluje kao kanal za preuzimanje backdoor-a (“bd.log”) kao i programa za preuzimanje (“fl01.log”) sa udaljenog servera, koji se koristi za uspostavljanje postojanosti i dohvaćanje dodatnih payload-a na kompromitovanoj mašini.
Backdoor – upisan na putanji „/tmp/.test“ – je potpuno opremljen i izgrađen povrh alata otvorenog koda za post-eksploataciju pod nazivom Khepri. Činjenica da se nalazi u direktoriju “/tmp” znači da će biti izbrisan kada se sistem isključi.
Uz to, bit će ponovo kreiran na istoj lokaciji sljedeći put kada se piratska aplikacija učita i izvrši dropper.
S druge strane, program za preuzimanje je upisan na skrivenu putanju “/Users/Shared/.fseventsd”, nakon čega kreira LaunchAgent kako bi osigurao postojanost i šalje HTTP GET zahtjev serveru koji kontroliše haker.
Iako server više nije dostupan, program za preuzimanje je dizajniran da upiše HTTP odgovor u novu datoteku koja se nalazi na /tmp/.fseventsds i zatim je pokrene.
Jamf je rekao da malver ima nekoliko sličnosti sa ZuRu-om, koji je primijećen u prošlosti kako se širi putem piratskih aplikacija na kineskim stranicama.
„Moguće je da je ovaj malver naslednik ZuRu malvera s obzirom na njegove ciljane aplikacije, modifikovane komande učitavanja i infrastrukturu napadača“, rekli su istraživači.
Izvor: The Hacker News