Дослідники безпеки виявили новий тип шкідливого програмного забезпечення, прихованого в деяких піратських програмах macOS. Після встановлення програми у фоновому режимі Mac запускається зловмисне програмне забезпечення, схоже на троян. Про це повідомляє 9to5mac.
У своїй щотижневій колонці про безпеку Security Bite Арін Вайчуліс розповідає про конфіденційність даних, виявляє вразливості та проливає світло на нові загрози у величезній екосистемі Apple, що налічує понад 2 мільярди активних пристроїв.
Вивчаючи кілька сповіщень про загрози, дослідники Jamf Threat Lab натрапили на виконуваний файл під назвою .fseventsd.
Виконуваний файл використовує ім’я фактичного процесу (не випадково), вбудованого в операційну систему macOS, яка використовується для відстеження змін у файлах і каталогах і зберігання даних подій для таких функцій, як резервне копіювання Time Machine. Однак .fseventsd не є виконуваним файлом. Це вбудований журнал.
Крім того, Jamf вдалося виявити, що Apple не підписувала підозрілий файл.
«Такі характеристики часто вимагають подальшого дослідження. За допомогою VirusTotal ми змогли визначити, що цей дивовижний двійковий файл .fseventsd спочатку було завантажено як частину більшого файлу DMG», – заявили у блозі Jamf Threat Labs.
Дослідники виявили п’ять файлів образів дисків (DMG), що містять модифікований код часто піратських програм, включно з FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT та UltraEdit.
«Ці програми розміщуються на китайських піратських вебсайтах, щоб отримати доступ до жертв. Після проникнення зловмисне програмне забезпечення завантажить і виконає кілька корисних навантажень у фоновому режимі, щоб таємно скомпрометувати комп’ютер жертви», – пояснили у Jamf.
У той час, коли програми можуть виглядати та поводитися так, як мають, дроппер виконується у фоновому режимі для встановлення зв’язку з інфраструктурою, контрольованою зловмисником.
На вищому рівні двійковий файл .fseventsd виконує шкідливі дії у такому порядку:
- Спочатку завантажується шкідливий файл dylib (динамічна бібліотека), який діє як дроппер, який виконується щоразу, коли відкривається програма.
- Після цього виконується бекдорне двійкове завантаження, яке використовує інструмент командування та керування (C2) Khepri з відкритим кодом та інструмент після експлуатації, а також завантажувач, який налаштовує постійність і завантажує додаткові корисні дані.
Проєкт Khepri з відкритим кодом може дати змогу зловмисникам збирати інформацію про систему жертви, завантажувати та надсилати файли й навіть відкривати віддалену оболонку, пояснили у Jamf.
«Цілком можливо, що ця шкідлива програма є наступницею шкідливої програми ZuRu, враховуючи її цільові програми, модифіковані команди завантаження та інфраструктуру зловмисників», – заявили дослідники.
Цікаво, що оскільки бекдор Khepri залишається прихованим у тимчасовому файлі, він видаляється щоразу, коли Mac жертви перезавантажується або вимикається. Однак шкідливий dylib завантажиться знову, коли користувач наступного разу відкриє програму.
Як захистити себе
У Jamf вважають, що ці атаки насамперед спрямовані на жертв у Китаї (на вебсайтах [.]cn), однак важливо пам’ятати про небезпеки піратського програмного забезпечення.
На жаль, багато з тих, хто встановлює піратські програми, очікують сповіщень системи безпеки, оскільки програмне забезпечення нелегальне. Це змушує їх швидко тиснути на кнопку «Встановити», пропускаючи будь-які попередження системи безпеки від macOS Gatekeeper.
Крім того, варто встановити перевірене антивірусне програмне забезпечення і програмне забезпечення для захисту від шкідливих програм. Хоча це зловмисне програмне забезпечення може «проскочити» непоміченим, додатковий рівень захисту на Mac завжди є хорошою практикою.
Раніше ProIT повідомляв, що Apple випустила оновлення для Magic Keyboard 2.0.6, що виправляє вразливість Bluetooth.
Також ProIT розповідав, що патч Microsoft за січень 2024 року виправляє 49 вразливостей і 12 помилок RCE.
Ще ми писали, що хакери намагалися вкрасти 900 ГБ даних Ubisoft.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
