A Jamf Threat Labs kutatói figyelmeztetést adtak ki, miszerint kalózalkalmazások használata révén hátsó ajtót nyitnak az Apple macOS felhasználóinak. Megállapították, hogy ezek az alkalmazások hasonlítanak a ZuRu malware-re, és lehetővé teszik a műveleti rendszerek megtámadását és több rosszindulatú kódot futtatását a háttérben.
A kalózalkalmazásokat kínai kalózhonlapokon találták meg. A vizsgálat során a tudósok észrevették egy „.fseventsd” nevű végrehajtható fájlt, amely a ponttal kezdődik és az operációs rendszerben meglévő folyamatnevet használja a felismerés elkerülése érdekében. Bár nem Apple által aláírt fájl, a VirusTotal platformon végzett tanulmány során semmiféle vírusirtó program nem észlelte.
A Jamf Threat Labs kutatói a VirusTotal segítségével megállapították, hogy a .fseventsd fájlt eredetileg egy nagyobb DMG fájl részeként töltötték fel. A VirusTotal további vizsgálata során három olyan kalózalkalmazást találtak, amelyek ugyanazt a rosszindulatú kódot tartalmazzák. Szakértők emellett számtalan kalózalkalmazást fedeztek fel a kínai macyy [.] cn weboldalon. Két fertőzött DMG fájl azonosításra került, amiről nem történt bejelentés a VirusTotalon.
A kártékony DMG fájlok a Navicat Premium, az UltraEdit, a FinalShell, a SecureCRT és a Microsoft Remote Desktop nevű törvényes szoftvert tartalmazzák.
Minden kalóz alkalmazás a következő összetevőket tartalmazza:
– Kártékony dylib: a folyamat által betöltött könyvtár, amely cseppentőként működik.
– Hátsó ajtó: a dylib által letöltött bináris fájl, amely a Khepri nyílt forráskódú C2 eszköz és a poszt-exploitation eszköz felhasználásával működik.
– Tartós letöltő: a dylib által letöltött bináris fájl, amely a tartósság fenntartására és további rosszindulatú kódok letöltésére szolgál.
Az a módszer, ahogy a kártékony dylib bevezeti a malware-t, elég fejlettnek számít a macOS malware-ei között. Sajnos ez felülírja az alkalmazás aláírását. Ennek eredményeként ezek az alkalmazások aláíratlan online alkalmazásokként terjednek, amit sok kalózalkalmazást letöltő felhasználó gyakran figyelmen kívül hagy.
Amikor futtatják a FinalShell.dmg alkalmazást, a dylib könyvtár a „bd.log” hátsó ajtót és a „fl01.log” letöltőt tölti be egy távoli szerverről. A bd.log hátsó ajtó a „/tmp/.test” elérési útvonalra van mentve, és rejtve marad a tmp mappában. Az hátsó ajtó a rendszer leállításakor törlődik.
A malware tartós működés érdekében egy LaunchAgentet hoz létre, és HTTP GET kéréseket küld az attacker szerverére. Több hasonlóságot találtak e malware és a 2021 óta aktív ZuRu malware között. Mindkét malware csoport elsősorban Kínában élő áldozatokat céloz.
Elképzelhető, hogy ez a malware a ZuRu malware folytatása, figyelembe véve a célcsoportot, a módosított betöltési parancsokat és az attacker infrastruktúrát.
Gyakran Ismételt Kérdések:
1. Milyen fenyegetést jelentenek a kalóz szoftverek az Apple macOS felhasználók számára?
A kalózalkalmazások hátsó ajtót vezethetnek be, lehetővé téve az operátoroknak, hogy rosszindulatú kódokat töltsenek le és futtassanak a háttérben, ezzel veszélyeztetve a rendszereket.
2. Hol találták ezeket a kalóz alkalmazásokat?
Ezeket a kalóz alkalmazásokat kínai kalózhonlapokon találták meg, például macyy [.] cn oldalon.
3. Mi alkotja a kalóz alkalmazások összetevőit?
Minden kalóz alkalmazás tartalmaz egy kártékony dylibet (a folyamat által betöltött könyvtár), egy hátsó ajtót (a dylib által letöltött bináris fájl) és egy tartós letöltőt (a dylib által letöltött bináris fájl).
4. Észleltek-e ezeket a kalóz alkalmazásokat vírusirtó programok a vizsgálat során?
A tanulmány során ezeket a kalóz alkalmazásokat egyetlen vírusirtó program sem észlelte a VirusTotal platformon.
5. Milyen szoftverek a célpontjai ennek a malware-nek?
A fertőzött DMG fájlok olyan törvényes szoftvereket tartalmaznak, mint a Navicat Premium, az UltraEdit, a FinalShell, a SecureCRT és a Microsoft Remote Desktop.
6. Hogyan vezeti be ez a malware a hátsó ajtót?
A malware egy kártékony dylib által vezet be hátsó ajtót, amely cseppentőként működik. Ez felülírja az alkalmazás aláírását, ezért ezeket az alkalmazásokat aláíratlan online alkalmazásként terjesztik.
7. Hol van mentve a hátsó ajtó?
A hátsó ajtó a „/tmp/.test” elérési útvonalon van mentve és rejtve marad a tmp mappában.
8. Hogyan tartja fenn a malware a tartósságot?
A malware egy LaunchAgentet hoz létre a tartósság fenntartása érdekében, és HTTP GET kéréseket küld az attacker szerverére.
Definíciók:
– Hátsó ajtó: Mechanizmus, amely lehetővé teszi a jogosulatlan hozzáférést egy számítógépes rendszerhez, lehetővé téve az operátoroknak, hogy rosszindulatú kódokat töltsenek le és futtassanak.
The source of the article is from the blog kunsthuisoaleer.nl