A Jamf Threat Labs kutatói arra figyelmeztetnek, hogy kalózmásolatokat használtak fel egy backdoor terjesztésére az Apple macOS felhasználói számára.
A kutatók szerint az alkalmazások a ZuRu malware-hez hasonlóak, lehetővé teszik az üzemeltetőik számára, hogy a háttérben payload-okat töltsenek le és telepítsenek.
A Jamf Threat Labs által felfedezett kalózmásolatokat kínai kalózoldalakon tárolják.
Vizsgálataik során a kutatók egy .fseventsd nevű futtatható programot észleltek, amely úgy próbálja elkerülni a felismerést, hogy egy ponttal kezdődik, és az operációs rendszerbe épített folyamat nevét használja. A kutatás idején a VirusTotal egyik vírusirtója sem észlelte.
A Jamf Threat Labs kutatói felfedezték, hogy a .fseventsd bináris fájlt eredetileg egy nagyobb DMG fájl részeként töltötték fel. A VirusTotal további vizsgálata három olyan kalózmásolatot tárt fel, amelyek ugyanazt a kártevőt tartalmazzák. A szakértők két további hasonló mintát követő trójai DMG-t is azonosítottak, amelyeket a VirusTotalon nem jelentettek.
A rosszindulatú szoftverekkel fertőzött DMG fájlok olyan legitim szoftvereket tartalmaznak, mint a Navicat Premium, az UltraEdit, a FinalShell, a SecureCRT és a Microsoft Remote Desktop.
Mindegyik alkalmazás a következő összetevőket tartalmazta:
- Rosszindulatú dylib, az alkalmazás által betöltött könyvtár, amely dropperként működik.
- Backdoor: a dylib által letöltött bináris, amely a Khepri nyílt forráskódú C2 és poszt-exploitációs eszközt használja.
- Perzisztens letöltő: a dylib által letöltött bináris, amely a perzisztencia fenntartására és további payload-ok letöltésére szolgál.
A FinalShell.dmg alkalmazás futtatásakor a dylib könyvtár betölti a “bd.log” backdoor-t és az “fl01.log” letöltőprogramot egy távoli szerverről. A bd.log backdoor a “/tmp/.test” elérési útvonalra íródik, a futtatható fájl az ideiglenes könyvtárban rejtve marad. A kártevő tárolása ebben a mappában a rendszer kikapcsolásakor a backdoor törlését eredményezi.
A backdoor minden alkalommal ebbe az elérési útvonalba íródik, amikor a kalózmásolat betöltődik és a dropper végrehajtásra kerül.
A /Users/Shared/.fseventsd könyvtárban található futtatható fájl perzisztens letöltőként működik, lehetővé téve a támadó szerveréről letöltött tetszőleges payload-ok végrehajtását.
A kártevő létrehoz egy LaunchAgent-et a perzisztencia fenntartásához, és HTTP GET kérést küld a támadó szerverére.
A kutatók számos hasonlóságot fedeztek fel a kártevő és a legalább 2021 óta aktív ZuRu kártevő között.
“A ZuRu malware eredetileg az iTerm, a SecureCRT, a Navicat Premium és a Microsoft Remote Desktop Client kalózalkalmazásokban volt megtalálható. A fertőzött alkalmazás megnyitásakor a felhasználónak egy működőképes alkalmazás jelent meg, de egy hozzáadott dylib a háttérben egy Python scriptet hajtott végre, hogy érzékeny fájlokat töltsön fel egy támadó szerverre” – írja a jelentés. “Lehetséges, hogy ez a kártevő a ZuRu kártevő utódja, tekintve a célzott alkalmazásokat, a módosított betöltési parancsokat és a támadó infrastruktúráját”.