Výzkumníci z Jamf Threat Labs vydali varování, že pirátské aplikace byly použity k zavedení zadních vrátek pro uživatele Apple macOS. Bylo zjištěno, že tyto aplikace připomínají malware ZuRu a umožňují operátorům stahovat a spouštět několik různých nástrojů pro kompromitaci počítačů na pozadí.
Pirátské aplikace byly nalezeny na čínských pirátských webech. Během vyšetřování vědci zaznamenali spustitelný soubor pojmenovaný „.fseventsd“, který se snaží uniknout detekci tím, že začíná tečkou a používá jméno procesu, které je pro operační systém přirozené. Ačkoli není podepsán společností Apple, během studie zůstal nepovšimnut jakýmkoli antivirovým programem na platformě VirusTotal.
Použitím VirusTotal výzkumníci z Jamf Threat Labs zjistili, že soubor .fseventsd byl původně nahrán jako součást většího souboru DMG. Další vyšetřování na VirusTotal odhalilo tři pirátské aplikace obsahující stejný malware. Odborníci také objevili mnoho pirátských aplikací na čínském webu macyy [.] cn. Byly identifikovány dva infikované soubory DMG, které nebyly hlášeny na VirusTotal.
Malicious DMG soubory obsahují legitimní software jako je Navicat Premium, UltraEdit, FinalShell, SecureCRT a Microsoft Remote Desktop.
Každá pirátská aplikace obsahuje následující komponenty:
– Malicious dylib: knihovna, která je načítána aplikací a funguje jako dropper.
– Backdoor: binární soubor, který je stažen pomocí dylib, využívající Khepri open-source C2 nástroj a nástroj pro exploataci.
– Persistent downloader: binární soubor stažený pomocí dylib, který slouží k udržování persistability a ke stažení dalších payloadů.
Technika zavádění malwaru prostřednictvím malicious dylib je považována za poměrně pokročilou v macOS malwaru. Bohužel to také vede k přepsání signatury aplikace. Výsledkem je, že tyto aplikace jsou distribuovány jako nesignované online aplikace, což mnoho uživatelů, kteří stahují pirátské aplikace, často přehlíží.
Při spuštění aplikace FinalShell.dmg načítá knihovna dylib backdoor „bd.log“ a downloader „fl01.log“ z vzdáleného serveru. Backdoor bd.log je uložen v cestě „/tmp/.test“ a zůstává skrytý v dočasném adresáři. Backdoor je smazán při vypnutí systému.
Malware také vytváří LaunchAgent pro persistabilitu a odesílá HTTP GET požadavky na server útočníka. Byly nalezeny některé podobnosti mezi tímto malwarem a malwarem ZuRu, který je aktivní již od roku 2021. Obě skupiny malware se primárně zaměřují na oběti v Číně.
Je možné, že tento malware je pokračováním malwaru ZuRu, s ohledem na cílové aplikace, upravené příkazy načítání a infrastrukturu útočníka.
FAQ:
1. Jakou hrozbu představuje pirátský software pro uživatele Apple MacOS?
Pirátské aplikace mohou zavádět zadní vrátka, která umožňují operátorům stahovat a spouštět několik různých nástrojů pro kompromitaci počítačů na pozadí.
2. Kde byly tyto pirátské aplikace objeveny?
Tyto pirátské aplikace byly nalezeny na čínských pirátských webech, jako je macyy [.] cn.
3. Jaké jsou komponenty pirátské aplikace?
Každá pirátská aplikace obsahuje malicious dylib (knihovnu načítanou aplikací), backdoor (binární soubor stažený dylib) a persistent downloader (binární soubor stažený dylib).
4. Byly tyto pirátské aplikace detekovány antivirovými programy?
Během studie nebyly tyto pirátské aplikace detekovány žádným antivirovým programem na platformě VirusTotal.
5. Jakých aplikací je tento malware cílem?
Infikované soubory DMG obsahují legitimní software jako je Navicat Premium, UltraEdit, FinalShell, SecureCRT a Microsoft Remote Desktop.
6. Jak tento malware zavádí zadní vrátka?
Malware zavádí zadní vrátka prostřednictvím malicious dylib, která funguje jako dropper. Tímto způsobem je přepsána signatura aplikace, a proto jsou tyto aplikace distribuovány jako nesignované online aplikace.
7. Kam je backdoor uložen?
Backdoor je uložen v cestě „/tmp/.test“ a zůstává skryt v dočasném adresáři.
8. Jak malware udržuje persistabilitu?
Malware vytváří LaunchAgent pro udržování persistability a odesílá HTTP GET požadavky na server útočníka.
Definice:
– Backdoor: Mechanismus, který umožňuje neautorizovaný přístup k počítačovému systému a umožňuje operátorům stahovat a spouštět několik různých nástrojů pro jeho kompromitaci.
The source of the article is from the blog revistatenerife.com