Найти в Дзене
88 подписчиков

Исследователи обнаружили новый штамм вредоносного ПО, который злодеи спрятали в некоторых распространенных пиратских приложениях для macOS. После их установки эти трояны начинают загружать на машину пользователя управляющие модули и открывают к ней доступ со стороны. Хорошая новость заключается в том, что пока эти атаки направлены больше против китайских пользователей.


Изучая сообщения об угрозах, специалисты Jamf Threat Lab наткнулись на исполняемый файл с названием .fseventsd. Это имя реального системного процесса macOS (не случайно). Обычно он предназначен для отслеживания изменений в файлах и каталогах и хранения данных о событиях для таких функций, как резервное копирование Time Machine. Однако .fseventsd — это не исполняемый файл. Это логи, поэтому исследователи начали копать дальше.

Далее Jamf Threat Labs обнаружила пять файлов образов дисков (DMG), содержащих модифицированный код распространенных пиратских приложений, включая FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT и UltraEdit.

"Эти приложения размещаются на китайских пиратских сайтах, чтобы привлечь жертв", — объясняет Jamf. — "После успешного десантирования на машину пользователя вредоносная программа загружает и выполняет в фоновом режиме множество последующих задач, получая контроль над машиной".

Хотя внешне приложения могут выглядеть и вести себя как положено, в фоновом режиме выполняется дроппер, который устанавливает связь с контролируемой злоумышленниками инфраструктурой.

На более высоком уровне двоичный файл .fseventsd выполняет три вредоносных действия. Сначала загружается вредоносный файл dylib (динамическая библиотека), который выступает в роли дроппера, выполняющегося при каждом открытии приложения. Затем загружается бинарный бэкдор, использующий открытый инструмент командно-административного управления (C2) и постэксплойта Khepri, а также загрузчик, который при необходимости подгружает дополнительные элементы.

Проект Khepri с открытым исходным кодом может позволить злоумышленникам собирать информацию о системе жертвы, загружать и выгружать файлы и даже открывать командную строку "Возможно, эта вредоносная программа является преемником ZuRu, учитывая ее целевые приложения, модифицированные команды загрузки и инфраструктуру злоумышленников".

Интересно, что поскольку бэкдор Khepri скрывается во временном файле, он удаляется при перезагрузке или выключении Mac жертвы. Однако при следующем открытии приложения вредоносный dylib загрузится снова.

Хотя Jamf считает, что эта атака в первую очередь нацелена на жертв в Китае, важно помнить, что беспорядочные загрузки приложений с разных сайтов также опасны, как и беспорядочные сами знаете что. Будьте бдительны!
2 минуты