Os pesquisadores da Jamf Threat Labs emitiram um aviso de que aplicações piratas estão sendo usadas para introduzir uma porta dos fundos para os usuários do Apple macOS. Foi descoberto que essas aplicações se assemelham ao malware ZuRu e permitem que os operadores façam o download e executem vários payloads para comprometer as máquinas em segundo plano.
As aplicações piratas foram encontradas em sites de pirataria chineses. Durante a investigação, os cientistas observaram um arquivo executável chamado “.fseventsd” que tenta evitar a detecção começando com um ponto e usando um nome de processo inerente ao sistema operacional. Embora não seja assinado pela Apple, ele passou despercebido por qualquer programa antivírus na plataforma VirusTotal durante o estudo.
Usando o VirusTotal, os pesquisadores da Jamf Threat Labs descobriram que o arquivo .fseventsd foi inicialmente enviado como parte de um arquivo DMG maior. Uma investigação adicional no VirusTotal revelou três aplicações piratas contendo o mesmo malware. Os especialistas também descobriram várias aplicações piratas no site chinês macyy [.] cn. Foram identificados dois arquivos DMG infectados que não haviam sido relatados no VirusTotal.
Os arquivos DMG maliciosos contêm softwares legítimos como Navicat Premium, UltraEdit, FinalShell, SecureCRT e Microsoft Remote Desktop.
Cada aplicação pirata contém os seguintes componentes:
– dylib maligno: uma biblioteca carregada pela aplicação, atuando como um dropper.
– Backdoor: um arquivo binário baixado pelo dylib, utilizando a ferramenta de C2 de código aberto Khepri e a ferramenta de pós-exploração.
– Downloader persistente: um arquivo binário baixado pelo dylib, usado para manter a persistência e baixar payloads adicionais.
A técnica de introduzir malware por meio de um dylib maligno é considerada relativamente avançada em termos de malware para macOS. Infelizmente, isso resulta na substituição da assinatura da aplicação. Como resultado, essas aplicações são distribuídas como aplicações online não assinadas, o que muitos usuários que baixam aplicações piratas frequentemente ignoram.
Ao executar a aplicação FinalShell.dmg, a biblioteca dylib carrega a porta dos fundos “bd.log” e o downloader “fl01.log” de um servidor remoto. A porta dos fundos bd.log é salva no caminho “/tmp/.test” e permanece oculta no diretório temporário. A porta dos fundos é excluída ao desligar o sistema.
O malware também cria um LaunchAgent para manter a persistência e envia solicitações HTTP GET para o servidor do atacante. Foram encontradas várias similaridades entre esse malware e o malware ZuRu, que está ativo desde pelo menos 2021. Ambos os grupos de malware têm como alvo principalmente vítimas na China.
É possível que esse malware seja uma continuação do malware ZuRu, considerando as aplicações-alvo, os comandos de carregamento modificados e a infraestrutura do atacante.
FAQ:
The source of the article is from the blog klikeri.rs