Site icon Kiber.ba

Stručnjaci upozoravaju na macOS backdoor skriven u piratskim verzijama popularnog softvera

Adam
Stručnjaci upozoravaju na macOS backdoor skriven u piratskim verzijama popularnog softvera - Kiber.ba

Stručnjaci upozoravaju na macOS backdoor skriven u piratskim verzijama popularnog softvera - Kiber.ba

Primijećeno je da piratske aplikacije koje ciljaju korisnike Apple macOS-a sadrže backdoor koji napadačima daje daljinsku kontrolu nad zaraženim mašinama.

“Ove aplikacije se hostuju na kineskim piratskim web stranicama kako bi se pronašle žrtve”, rekli su istraživači Jamf Threat Labs-a Ferdous Saljooki i Jaron Bradley.

“Kada detonira, malver će preuzeti i izvršiti više payload-a u pozadini kako bi tajno ugrozio žrtvinu mašinu.”

Datoteke slike diska sa backdoor-om (DMG), koje su modifikovane za uspostavljanje komunikacije s infrastrukturom koju kontrolišu hakeri, uključuju legitiman softver poput Navicat Premium, UltraEdit, FinalShell, SecureCRT i Microsoft Remote Desktopa.

Nepotpisane aplikacije, osim što se nalaze na kineskoj web stranici pod nazivom macyy[.]cn, uključuju komponentu droppera pod nazivom “dylib” koja se izvršava svaki put kada se aplikacija otvori.

Dropper tada djeluje kao kanal za preuzimanje backdoor-a (“bd.log”) kao i programa za preuzimanje (“fl01.log”) sa udaljenog servera, koji se koristi za uspostavljanje postojanosti i dohvaćanje dodatnih payload-a na kompromitovanoj mašini.

Backdoor – upisan na putanji „/tmp/.test“ – je potpuno opremljen i izgrađen povrh alata otvorenog koda za post-eksploataciju pod nazivom Khepri. Činjenica da se nalazi u direktoriju “/tmp” znači da će biti izbrisan kada se sistem isključi.

Uz to, bit će ponovo kreiran na istoj lokaciji sljedeći put kada se piratska aplikacija učita i izvrši dropper.

S druge strane, program za preuzimanje je upisan na skrivenu putanju “/Users/Shared/.fseventsd”, nakon čega kreira LaunchAgent kako bi osigurao postojanost i šalje HTTP GET zahtjev serveru koji kontroliše haker.

Iako server više nije dostupan, program za preuzimanje je dizajniran da upiše HTTP odgovor u novu datoteku koja se nalazi na /tmp/.fseventsds i zatim je pokrene.

Jamf je rekao da malver ima nekoliko sličnosti sa ZuRu-om, koji je primijećen u prošlosti kako se širi putem piratskih aplikacija na kineskim stranicama.

„Moguće je da je ovaj malver naslednik ZuRu malvera s obzirom na njegove ciljane aplikacije, modifikovane komande učitavanja i infrastrukturu napadača“, rekli su istraživači.

Izvor: The Hacker News

Exit mobile version