Especialistas alertam sobre backdoor escondido do macOS, presente em versões pirateadas de softwares populares
22 de Janeiro de 2024

Aplicações pirateadas que visam usuários do Apple macOS foram observadas contendo um backdoor capaz de conceder aos invasores controle remoto das máquinas infectadas.


"Essas aplicações estão sendo hospedadas em sites chineses de pirataria para ganhar vítimas", disseram os pesquisadores do Jamf Threat Labs, Ferdous Saljooki e Jaron Bradley.

"Uma vez detonado, o malware irá baixar e executar várias payloads em segundo plano para comprometer secretamente a máquina da vítima."

Os arquivos de imagem de disco com backdoor (DMG), que foram modificados para estabelecer comunicações com infraestrutura controlada pelo invasor, incluem software legítimo como Navicat Premium, UltraEdit, FinalShell, SecureCRT e Microsoft Remote Desktop.

As aplicações não assinadas, além de serem hospedadas em um site chinês chamado macyy[.]cn, incorporam um componente chamado "dylib" que é executado todas as vezes que a aplicação é aberta.

O dropper então atua como um conduto para buscar um backdoor ("bd.log") e um downloader ("fl01.log") de um servidor remoto, que é usado para configurar persistência e buscar payloads adicionais na máquina comprometida.

O backdoor - escrito no caminho "/tmp/.test" - é totalmente completo e construído sobre um kit de ferramentas de pós-exploração de código aberto chamado Khepri.

O fato de estar localizado no diretório "/tmp" significa que ele será deletado quando o sistema for desligado.

Sendo assim, será novamente criado no mesmo local na próxima vez que a aplicação pirateada for carregada e o dropper for executado.

Por outro lado, o downloader é escrito no caminho oculto "/Users/Shared/.fseventsd", após o que ele cria um LaunchAgent para garantir persistência e envia uma solicitação HTTP GET para um servidor controlado pelo invasor.

Embora o servidor não esteja mais acessível, o downloader foi projetado para gravar a resposta HTTP em um novo arquivo localizado em /tmp/.fseventsds e depois lançá-lo.

A Jamf afirmou que o malware compartilha várias semelhanças com o ZuRu, que foi observado no passado se espalhando por aplicações pirateadas em sites chineses.

"É possível que esse malware seja um sucessor do malware ZuRu, dado suas aplicações direcionadas, comandos de payloads modificados e infraestrutura de ataque", disseram os pesquisadores.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...