Aplicações pirateadas que visam usuários do Apple macOS foram observadas contendo um backdoor capaz de conceder aos invasores controle remoto das máquinas infectadas.
"Essas aplicações estão sendo hospedadas em sites chineses de pirataria para ganhar vítimas", disseram os pesquisadores do Jamf Threat Labs, Ferdous Saljooki e Jaron Bradley.
"Uma vez detonado, o malware irá baixar e executar várias payloads em segundo plano para comprometer secretamente a máquina da vítima."
Os arquivos de imagem de disco com backdoor (DMG), que foram modificados para estabelecer comunicações com infraestrutura controlada pelo invasor, incluem software legítimo como Navicat Premium, UltraEdit, FinalShell, SecureCRT e Microsoft Remote Desktop.
As aplicações não assinadas, além de serem hospedadas em um site chinês chamado macyy[.]cn, incorporam um componente chamado "dylib" que é executado todas as vezes que a aplicação é aberta.
O dropper então atua como um conduto para buscar um backdoor ("bd.log") e um downloader ("fl01.log") de um servidor remoto, que é usado para configurar persistência e buscar payloads adicionais na máquina comprometida.
O backdoor - escrito no caminho "/tmp/.test" - é totalmente completo e construído sobre um kit de ferramentas de pós-exploração de código aberto chamado Khepri.
O fato de estar localizado no diretório "/tmp" significa que ele será deletado quando o sistema for desligado.
Sendo assim, será novamente criado no mesmo local na próxima vez que a aplicação pirateada for carregada e o dropper for executado.
Por outro lado, o downloader é escrito no caminho oculto "/Users/Shared/.fseventsd", após o que ele cria um LaunchAgent para garantir persistência e envia uma solicitação HTTP GET para um servidor controlado pelo invasor.
Embora o servidor não esteja mais acessível, o downloader foi projetado para gravar a resposta HTTP em um novo arquivo localizado em /tmp/.fseventsds e depois lançá-lo.
A Jamf afirmou que o malware compartilha várias semelhanças com o ZuRu, que foi observado no passado se espalhando por aplicações pirateadas em sites chineses.
"É possível que esse malware seja um sucessor do malware ZuRu, dado suas aplicações direcionadas, comandos de payloads modificados e infraestrutura de ataque", disseram os pesquisadores.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...