Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến

Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến

Các ứng dụng lậu nhắm mục tiêu vào người dùng macOS của Apple đã được phát hiện có chứa một cửa sau có khả năng cấp cho kẻ tấn công quyền điều khiển từ xa đối với các máy bị nhiễm.

Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến

Các nhà nghiên cứu Ferdous Saljooki và Jaron Bradley của Jamf Threat Labs cho biết: “Các ứng dụng này đang được lưu trữ trên các trang web vi phạm bản quyền của Trung Quốc nhằm thu hút nạn nhân”.

“Sau khi phát nổ, phần mềm độc hại sẽ tải xuống và thực thi nhiều tải trọng ở chế độ nền để bí mật xâm phạm máy của nạn nhân.”

Các tệp hình ảnh đĩa cửa sau (DMG), đã được sửa đổi để thiết lập liên lạc với cơ sở hạ tầng do tác nhân kiểm soát, bao gồm phần mềm hợp pháp như Navicat Premium, UltraEdit, FinalShell, SecureCRT và Microsoft Remote Desktop.

Các ứng dụng chưa được ký, ngoài việc được lưu trữ trên một trang web Trung Quốc có tên macyy[.]cn, còn kết hợp một thành phần nhỏ giọt có tên là "dylib" được thực thi mỗi khi ứng dụng được mở.

Sau đó, ống nhỏ giọt hoạt động như một ống dẫn để tìm nạp cửa sau ("bd.log") cũng như trình tải xuống ("fl01.log") từ máy chủ từ xa, được sử dụng để thiết lập tính bền vững và tìm nạp tải trọng bổ sung trên máy bị xâm nhập .

Cửa hậu – được ghi vào đường dẫn “/tmp/.test” – có đầy đủ tính năng và được xây dựng trên bộ công cụ mã nguồn mở sau khai thác có tên Khepri. Việc nó nằm trong thư mục "/tmp" có nghĩa là nó sẽ bị xóa khi hệ thống tắt.

Điều đó có nghĩa là nó sẽ được tạo lại ở cùng một vị trí vào lần tiếp theo khi ứng dụng vi phạm bản quyền được tải và trình nhỏ giọt được thực thi.

Mặt khác, trình tải xuống được ghi vào đường dẫn ẩn "/Users/Shared/.fseventsd", sau đó nó tạo ra LaunchAgent để đảm bảo tính bền vững và gửi yêu cầu HTTP GET đến máy chủ do tác nhân kiểm soát.

Mặc dù máy chủ không thể truy cập được nữa nhưng trình tải xuống được thiết kế để ghi phản hồi HTTP vào một tệp mới có tại /tmp/.fseventsds rồi khởi chạy nó.

Jamf cho biết phần mềm độc hại này có một số điểm tương đồng với ZuRu, loại phần mềm đã được quan sát thấy trước đây lây lan qua các ứng dụng vi phạm bản quyền trên các trang web của Trung Quốc.

Các nhà nghiên cứu cho biết: “Có thể phần mềm độc hại này là sự kế thừa của phần mềm độc hại ZuRu dựa trên các ứng dụng được nhắm mục tiêu, các lệnh tải đã được sửa đổi và cơ sở hạ tầng của kẻ tấn công”.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Kaspersky hướng dẫn cách hạn chế rủi ro khi sử dụng Wi-Fi công cộng

Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng tại quán cà phê, sân bay hoặc xuyên suốt kỳ nghỉ...

Chi tiết
Standard Post with Image

Kaspersky nhận định tình trạng lây nhiễm trong các doanh nghiệp SMB đang gia tăng do sự trỗi dậy của các cuộc tấn công vào Micro

Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã tăng 5% trong quý I năm 2024, so với cùng kỳ năm...

Chi tiết
Standard Post with Image

TeamViewer phát hiện vi phạm bảo mật trong môi trường CNTT doanh nghiệp

TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ của công ty vào ngày 26 tháng 6 năm 2024.

Chi tiết