Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến
Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến
Các ứng dụng lậu nhắm mục tiêu vào người dùng macOS của Apple đã được phát hiện có chứa một cửa sau có khả năng cấp cho kẻ tấn công quyền điều khiển từ xa đối với các máy bị nhiễm.
Các nhà nghiên cứu Ferdous Saljooki và Jaron Bradley của Jamf Threat Labs cho biết: “Các ứng dụng này đang được lưu trữ trên các trang web vi phạm bản quyền của Trung Quốc nhằm thu hút nạn nhân”.
“Sau khi phát nổ, phần mềm độc hại sẽ tải xuống và thực thi nhiều tải trọng ở chế độ nền để bí mật xâm phạm máy của nạn nhân.”
Các tệp hình ảnh đĩa cửa sau (DMG), đã được sửa đổi để thiết lập liên lạc với cơ sở hạ tầng do tác nhân kiểm soát, bao gồm phần mềm hợp pháp như Navicat Premium, UltraEdit, FinalShell, SecureCRT và Microsoft Remote Desktop.
Các ứng dụng chưa được ký, ngoài việc được lưu trữ trên một trang web Trung Quốc có tên macyy[.]cn, còn kết hợp một thành phần nhỏ giọt có tên là "dylib" được thực thi mỗi khi ứng dụng được mở.
Sau đó, ống nhỏ giọt hoạt động như một ống dẫn để tìm nạp cửa sau ("bd.log") cũng như trình tải xuống ("fl01.log") từ máy chủ từ xa, được sử dụng để thiết lập tính bền vững và tìm nạp tải trọng bổ sung trên máy bị xâm nhập .
Cửa hậu – được ghi vào đường dẫn “/tmp/.test” – có đầy đủ tính năng và được xây dựng trên bộ công cụ mã nguồn mở sau khai thác có tên Khepri. Việc nó nằm trong thư mục "/tmp" có nghĩa là nó sẽ bị xóa khi hệ thống tắt.
Điều đó có nghĩa là nó sẽ được tạo lại ở cùng một vị trí vào lần tiếp theo khi ứng dụng vi phạm bản quyền được tải và trình nhỏ giọt được thực thi.
Mặt khác, trình tải xuống được ghi vào đường dẫn ẩn "/Users/Shared/.fseventsd", sau đó nó tạo ra LaunchAgent để đảm bảo tính bền vững và gửi yêu cầu HTTP GET đến máy chủ do tác nhân kiểm soát.
Mặc dù máy chủ không thể truy cập được nữa nhưng trình tải xuống được thiết kế để ghi phản hồi HTTP vào một tệp mới có tại /tmp/.fseventsds rồi khởi chạy nó.
Jamf cho biết phần mềm độc hại này có một số điểm tương đồng với ZuRu, loại phần mềm đã được quan sát thấy trước đây lây lan qua các ứng dụng vi phạm bản quyền trên các trang web của Trung Quốc.
Các nhà nghiên cứu cho biết: “Có thể phần mềm độc hại này là sự kế thừa của phần mềm độc hại ZuRu dựa trên các ứng dụng được nhắm mục tiêu, các lệnh tải đã được sửa đổi và cơ sở hạ tầng của kẻ tấn công”.
Hương – Theo TheHackerNews
Tin liên quan:
NTS Group xin thông báo đến Quý khách hàng thời gian nghỉ lễ Quốc Khánh năm 2023 từ thứ Bảy 31/08/2024 đến Thứ Ba 03/09/2024. Chúng tôi làm việc trở...
Chi tiếtCác nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ liệu thanh toán không tiếp xúc của nạn nhân từ thẻ...
Chi tiếtGoogle đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tung ra vào tuần trước cho trình duyệt Chrome của...
Chi tiết