Исследователи безопасности обнаружили новый штамм вредоносного ПО, скрытого в некоторых распространённых пиратских приложениях для macOS. После установки эти приложения начинают исполнять трояноподобные вредоносные программы в фоновом режиме на Mac пользователя.

Изучая несколько предупреждений об угрозах, исследователи Jamf Threat Lab наткнулись на файл с именем .fseventsd. Этот файл использует имя реального процесса (не случайно), встроенного в операционную систему macOS и предназначенного для отслеживания изменений в файлах и каталогах и хранения данных о событиях для таких функций, как резервное копирование Time Machine.

«Такие характеристики часто требуют дальнейшего расследования», – говорится в блоге Jamf Threat Labs об исследовании, проведенном Фердусом Сальджуки и Джароном Брэдли. «Используя VirusTotal, мы смогли определить, что этот любопытный двоичный файл .fseventsd был изначально загружен как часть большого DMG-файла».

Дуэт обнаружил пять файлов образов дисков (DMG), содержащих модифицированный код распространенных пиратских приложений, включая FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT и UltraEdit.

«Эти приложения размещаются на китайских пиратских сайтах, чтобы привлечь внимание жертв», – рассказывают аналитики. «После запуска вредоносная программа загружает и выполняет множество полезных нагрузок в фоновом режиме, чтобы скрытно скомпрометировать компьютер жертвы».

Несмотря на то что внешне приложения выглядят и ведут себя как положено, в фоновом режиме выполняется скрипт дроппера, устанавливающий связь с контролируемой злоумышленниками инфраструктурой.

На более высоком уровне двоичный файл .fseventsd выполняет три вредоносных действия. Сначала загружается вредоносный файл dylib (динамическая библиотека), который выступает в роли дроппера, выполняющегося при каждом открытии приложения. Затем загружается бинарный бэкдор, использующий открытый инструмент командно-административного управления (C2) и постэксплойта Khepri, а также загрузчик, который при необходимости подгружает дополнительные элементы.

Интересно, что, поскольку бэкдор Khepri скрывается во временном файле, он удаляется при перезагрузке или выключении Mac. Однако вредоносный dylib загрузится снова, когда пользователь в следующий раз откроет приложение.

Несмотря на то что специалисты Jamf считают, что эта атака в первую очередь нацелена на пользователей в Китае (на сайтах [.]cn), важно помнить об опасностях, которые таит в себе пиратское программное обеспечение. К сожалению, многие из тех, кто устанавливает пиратские приложения, ожидают увидеть предупреждения о безопасности, поскольку программа не является легитимной. Это приводит к тому, что они быстро нажимают кнопку установки, пропуская все предупреждения о безопасности от macOS Gatekeeper.


Ещё по теме: