Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến

Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến

Các ứng dụng lậu nhắm mục tiêu vào người dùng macOS của Apple đã được phát hiện có chứa một cửa sau có khả năng cấp cho kẻ tấn công quyền điều khiển từ xa đối với các máy bị nhiễm.

Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến

Các nhà nghiên cứu Ferdous Saljooki và Jaron Bradley của Jamf Threat Labs cho biết: “Các ứng dụng này đang được lưu trữ trên các trang web vi phạm bản quyền của Trung Quốc nhằm thu hút nạn nhân”.

“Sau khi phát nổ, phần mềm độc hại sẽ tải xuống và thực thi nhiều tải trọng ở chế độ nền để bí mật xâm phạm máy của nạn nhân.”

Các tệp hình ảnh đĩa cửa sau (DMG), đã được sửa đổi để thiết lập liên lạc với cơ sở hạ tầng do tác nhân kiểm soát, bao gồm phần mềm hợp pháp như Navicat Premium, UltraEdit, FinalShell, SecureCRT và Microsoft Remote Desktop.

Các ứng dụng chưa được ký, ngoài việc được lưu trữ trên một trang web Trung Quốc có tên macyy[.]cn, còn kết hợp một thành phần nhỏ giọt có tên là "dylib" được thực thi mỗi khi ứng dụng được mở.

Sau đó, ống nhỏ giọt hoạt động như một ống dẫn để tìm nạp cửa sau ("bd.log") cũng như trình tải xuống ("fl01.log") từ máy chủ từ xa, được sử dụng để thiết lập tính bền vững và tìm nạp tải trọng bổ sung trên máy bị xâm nhập .

Cửa hậu – được ghi vào đường dẫn “/tmp/.test” – có đầy đủ tính năng và được xây dựng trên bộ công cụ mã nguồn mở sau khai thác có tên Khepri. Việc nó nằm trong thư mục "/tmp" có nghĩa là nó sẽ bị xóa khi hệ thống tắt.

Điều đó có nghĩa là nó sẽ được tạo lại ở cùng một vị trí vào lần tiếp theo khi ứng dụng vi phạm bản quyền được tải và trình nhỏ giọt được thực thi.

Mặt khác, trình tải xuống được ghi vào đường dẫn ẩn "/Users/Shared/.fseventsd", sau đó nó tạo ra LaunchAgent để đảm bảo tính bền vững và gửi yêu cầu HTTP GET đến máy chủ do tác nhân kiểm soát.

Mặc dù máy chủ không thể truy cập được nữa nhưng trình tải xuống được thiết kế để ghi phản hồi HTTP vào một tệp mới có tại /tmp/.fseventsds rồi khởi chạy nó.

Jamf cho biết phần mềm độc hại này có một số điểm tương đồng với ZuRu, loại phần mềm đã được quan sát thấy trước đây lây lan qua các ứng dụng vi phạm bản quyền trên các trang web của Trung Quốc.

Các nhà nghiên cứu cho biết: “Có thể phần mềm độc hại này là sự kế thừa của phần mềm độc hại ZuRu dựa trên các ứng dụng được nhắm mục tiêu, các lệnh tải đã được sửa đổi và cơ sở hạ tầng của kẻ tấn công”.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Cổng bảo mật 2 bước MFA vẫn có thể bị tấn công bởi các chiêu thức này của tin tặc

Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay, hãy cùng khám phá 2 chiêu thức tiếp theo mà cổng...

Chi tiết
Standard Post with Image

4 chiêu thức tin tặc sử dụng kỹ thuật xã hội để vượt qua cổng bảo mật 2 bước MFA

Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà tin tặc hay sử dụng để vượt qua rào bảo mật MFA nhé!

Chi tiết
Standard Post with Image

Phần mềm độc hại Android MoqHao mới bị phát hiện với khả năng tự động thực thi

Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHao, tự động thực thi trên các thiết bị bị nhiễm mà...

Chi tiết