Исследователи из Jamf Threat Labs обнаружили новую разновидность вредоносного ПО, которое распространяется внутри пиратского программного обеспечения для Маков.
Изначально внимание исследователей привлекло имя подозрительного файла “.fseventsd”. Во-первых, тем, что оно начинается с точки (поэтому файл автоматически скрывается в Finder). А во-вторых, совпадением с названием одного из системных процессов macOS — File System Events Daemon.
Файл загружался в качестве одной из составляющих установочных пакетов нескольких взломанных приложений для macOS. После запуска такого зараженного DMG-файла встроенный в него зловред скачивает на компьютер жертвы дополнительные вредоносные компоненты.
Один из этих компонентов представляет собой полноценный бэкдор, который даёт создателям зловреда возможность воровать информацию и выполнять произвольные команды на компьютере жертвы. Другой же компонент позволяет вредоносному ПО закрепиться в зараженной системе: несмотря на то, что бэкдор удаляется из системы после рестарта, он каждый раз скачивается и заново запускается.
По мнению исследователей, этот зловред угрожает в основном китайским пользователям. Однако весьма интересен набор пиратского ПО, к которому был прикручен бэкдор:
- Navicat — инструмент для разработки и администрирования баз данных.
- UltraEdit — текстовый и HEX-редактор, созданный главным образом для программистов.
- FinalShell — софт для управления серверами и SSH-клиент. SecureCRT — еще один SSH-клиент и Telnet-клиент.
- Microsoft Remote Desktop Beta — бета-версия официального RDP-клиента Microsoft.
То есть в данном случае создатели зловреда охотятся вовсе не на “пионеров”, ищущих взломанные игры и бесплатные мультики, а на вполне серьёзных (но крайне беспечных) IT-профессионалов, которые пытаются сэкономить на рабочих инструментах. Вывод, в общем, очевиден: к пиратскому софту следует относиться с крайней осторожностью и как минимум проверять установочные пакеты перед запуском антивирусом. Да, даже на Маках.