Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Были обнаружены пиратские приложения, нацеленные на пользователей Apple macOS, содержащие бэкдор, способный предоставлять злоумышленникам удаленный контроль над зараженными машинами.
"Эти приложения размещаются на китайских пиратских веб-сайтах с целью привлечения жертв", - сказали исследователи Jamf Threat Labs Фердоус Салджуки и Джарон Брэдли.
"После запуска вредоносная программа загрузит и выполнит несколько полезных загрузок в фоновом режиме, чтобы тайно скомпрометировать компьютер жертвы".
Файлы резервных копий образов дисков (DMG), которые были изменены для установления связи с инфраструктурой, контролируемой участниками, включают законное программное обеспечение, такое как Navicat Premium, UltraEdit, FinalShell, SecureCRT и Microsoft Remote Desktop.
Неподписанные приложения, помимо того, что размещены на китайском веб-сайте с именем macyy [.] cn, включают компонент-дроппер под названием "dylib", который запускается при каждом открытии приложения.
Затем дроппер действует как канал для получения бэкдора ("bd.log"), а также загрузчика ("fl01.log") с удаленного сервера, который используется для настройки сохраняемости и получения дополнительных полезных данных на взломанном компьютере.
Бэкдор, записываемый по пути "/ tmp /.test", является полнофункциональным и построен поверх инструментария для последующей эксплуатации с открытым исходным кодом под названием Khepri. Тот факт, что он расположен в каталоге "/ tmp", означает, что он будет удален при завершении работы системы.
Тем не менее, он будет создан снова в том же месте при следующей загрузке пиратского приложения и запуске dropper.
С другой стороны, загрузчик записывается по скрытому пути "/Users / Shared /.fseventsd", после чего он создает LaunchAgent для обеспечения сохраняемости и отправляет HTTP GET-запрос на сервер, контролируемый участником.
Пока сервер больше недоступен, загрузчик предназначен для записи HTTP-ответа в новый файл, расположенный по адресу /tmp/.fseventsds, а затем для его запуска.
Jamf заявила, что вредоносная программа имеет несколько общих черт с ZuRu, которая наблюдалась в прошлом, распространяясь через пиратские приложения на китайских сайтах.
"Возможно, что это вредоносное ПО является преемником вредоносного ПО ZuRu, учитывая его целевые приложения, измененные команды загрузки и инфраструктуру злоумышленника", - сказали исследователи.
"Эти приложения размещаются на китайских пиратских веб-сайтах с целью привлечения жертв", - сказали исследователи Jamf Threat Labs Фердоус Салджуки и Джарон Брэдли.
"После запуска вредоносная программа загрузит и выполнит несколько полезных загрузок в фоновом режиме, чтобы тайно скомпрометировать компьютер жертвы".
Файлы резервных копий образов дисков (DMG), которые были изменены для установления связи с инфраструктурой, контролируемой участниками, включают законное программное обеспечение, такое как Navicat Premium, UltraEdit, FinalShell, SecureCRT и Microsoft Remote Desktop.
Неподписанные приложения, помимо того, что размещены на китайском веб-сайте с именем macyy [.] cn, включают компонент-дроппер под названием "dylib", который запускается при каждом открытии приложения.
Затем дроппер действует как канал для получения бэкдора ("bd.log"), а также загрузчика ("fl01.log") с удаленного сервера, который используется для настройки сохраняемости и получения дополнительных полезных данных на взломанном компьютере.
Бэкдор, записываемый по пути "/ tmp /.test", является полнофункциональным и построен поверх инструментария для последующей эксплуатации с открытым исходным кодом под названием Khepri. Тот факт, что он расположен в каталоге "/ tmp", означает, что он будет удален при завершении работы системы.
Тем не менее, он будет создан снова в том же месте при следующей загрузке пиратского приложения и запуске dropper.
С другой стороны, загрузчик записывается по скрытому пути "/Users / Shared /.fseventsd", после чего он создает LaunchAgent для обеспечения сохраняемости и отправляет HTTP GET-запрос на сервер, контролируемый участником.
Пока сервер больше недоступен, загрузчик предназначен для записи HTTP-ответа в новый файл, расположенный по адресу /tmp/.fseventsds, а затем для его запуска.
Jamf заявила, что вредоносная программа имеет несколько общих черт с ZuRu, которая наблюдалась в прошлом, распространяясь через пиратские приложения на китайских сайтах.
"Возможно, что это вредоносное ПО является преемником вредоносного ПО ZuRu, учитывая его целевые приложения, измененные команды загрузки и инфраструктуру злоумышленника", - сказали исследователи.
