Изследователи по сигурността са открили нова разновидност на зловреден софтуер, скрит в някои често пиратствани приложения за macOS. След като бъдат инсталирани, приложенията несъзнателно изпълняват зловреден софтуер, подобен на троянски, във фонов режим на потребителския Mac. Това, което се случва оттук нататък, не е нищо добро.
При проучването на няколко сигнала за заплахи изследователите от Jamf Threat Lab се натъкнаха на изпълним файл с името .fseventsd. Изпълнимият файл използва името на действителен процес (неслучайно), вграден в операционната система macOS, който се използва за проследяване на промените във файловете и директориите и за съхраняване на данни за събития за функции като архивиране с Time Machine. Въпреки това .fseventsd не е изпълним файл. На всичкото отгоре Jamf установи, че Apple не е подписала подозрителния файл.
"Такива характеристики често дават основание за по-нататъшно разследване", заявяват от Jamf Threat Labs в публикация в блога за изследването, ръководено от Фердус Салджоки и Джарон Брадли. "С помощта на VirusTotal успяхме да установим, че тази любопитна на вид бинарна програма .fseventsd първоначално е била качена като част от по-голям DMG файл."
Двойката открива пет файла с дискови изображения (DMG), съдържащи модифициран код на често използвани пиратски приложения, включително FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT и UltraEdit.
"Тези приложения се хостват на китайски пиратски уебсайтове, за да се наберат жертви", обяснява Jamf. "След като бъде детониран, зловредният софтуер ще изтегли и изпълни множество полезни товари във фонов режим, за да компрометира тайно машината на жертвата."
Макар че на повърхността приложенията може да изглеждат и да се държат по предназначение, във фонов режим се изпълнява дропър, за да се установи комуникация с контролирана от нападателя инфраструктура.
На по-високо ниво бинарният файл .fseventsd изпълнява три злонамерени дейности (в този ред). Първо, зарежда се злонамереният файл dylib (динамична библиотека), който действа като дропър, изпълняващ се при всяко отваряне на приложението. Следва изтегляне на двоичен файл със задна вратичка, който използва инструмента за командване и управление (C2) и последващо експлоатиране с отворен код Khepri, и изтеглящ файл, който настройва устойчивост и изтегля допълнителни полезни товари.
Проектът с отворен код Khepri може да позволи на нападателите да събират информация за системата на жертвата, да изтеглят и качват файлове и дори да отворят отдалечено меню за команди, обяснява Jamf. "Възможно е този зловреден софтуер да е наследник на зловредния софтуер ZuRu, като се имат предвид целевите му приложения, модифицираните команди за зареждане и инфраструктурата на атакуващите."
Интересно е, че тъй като задната врата на Khepri остава скрита във временен файл, тя се изтрива всеки път когато Mac на жертвата се рестартира или изключва. Въпреки това злонамереният dylib ще се зареди отново при следващото отваряне на приложението от потребителя.
Въпреки че Jamf смята, че тази атака е насочена предимно към жертви в Китай (в уебсайтове .cn), важно е да не забравяме присъщите опасности, свързани с пиратския софтуер. За съжаление много от тези, които инсталират пиратски приложения, очакват да видят предупреждения за сигурност, защото софтуерът не е легитимен. Това ги кара бързо да натиснат бутона "Инсталиране", прескачайки всякакви предупреждения за сигурност от macOS Gatekeeper.
Снимка: Unsplash
Виж още: Neuralink е провалът на Илон Мъск, за който той не иска да разберете