Дослідники безпеки виявили новий штам шкідливого програмного забезпечення, прихований у деяких поширених піратських додатках для macOS. Після встановлення ці програми несвідомо запускають троянське програмне забезпечення у фоновому режимі на комп’ютері користувача Mac.
Досліджуючи кілька сповіщень про загрози, дослідники Jamf Threat Lab натрапили на виконуваний файл з назвою .fseventsd. Виконуваний файл використовує ім’я реального процесу (не випадково), вбудованого в операційну систему macOS, який використовується для відстеження змін у файлах і каталогах та зберігання даних про події для таких функцій, як резервне копіювання Time Machine. Однак, .fseventsd не є виконуваним файлом. Це власний журнал. Крім того, Jamf виявив, що Apple не підписала підозрілий файл.
“Такі характеристики часто вимагають подальшого розслідування”, – йдеться в блозі Jamf Threat Labs про дослідження під керівництвом Фердуса Салджукі (Ferdous Saljooki) і Джарона Бредлі (Jaron Bradley). “За допомогою VirusTotal ми змогли визначити, що цей цікавий на вигляд двійковий файл .fseventsd спочатку був завантажений як частина більшого DMG-файлу”.
Дослідники виявили п’ять файлів образу диска (DMG), що містили модифікований код найпоширеніших піратських програм, зокрема FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT та UltraEdit.
“Ці програми розміщуються на китайських піратських сайтах з метою залучення жертв, – пояснює Джамф. “Після запуску шкідливе програмне забезпечення завантажує та виконує у фоновому режимі численні корисні програми, щоб таємно скомпрометувати комп’ютер жертви”.
Хоча зовні програми можуть виглядати і поводитися, як задумано, у фоновому режимі виконується дроппер для встановлення зв’язку з контрольованою зловмисником інфраструктурою.
На більш високому рівні бінарний файл .fseventsd виконує три шкідливі дії (саме в такому порядку). Спочатку завантажується шкідливий файл dylib (динамічна бібліотека), який діє як дроппер, що запускається при кожному відкритті програми. Після цього завантажується двійковий файл бекдору, який використовує командно-контрольний інструмент з відкритим вихідним кодом Khepri (C2) та інструмент пост-експлуатації, а також завантажувач, який встановлює стійкість і завантажує додаткове корисне навантаження.
Проєкт Khepri з відкритим вихідним кодом може дозволити зловмисникам збирати інформацію про систему жертви, завантажувати і вивантажувати файли і навіть відкривати віддалену оболонку, пояснює Джамф. “Цілком можливо, що це шкідливе програмне забезпечення є наступником ZuRu, враховуючи його цільові програми, модифіковані команди завантаження та інфраструктуру зловмисників”.
Цікаво, що оскільки бекдор Khepri залишається прихованим у тимчасовому файлі, він видаляється щоразу, коли комп’ютер жертви перезавантажується або вимикається. Однак шкідливий диліб-файл завантажиться знову, коли користувач відкриє програму наступного разу.
Як захиститися
Хоча Jamf вважає, що ця атака в першу чергу націлена на жертв у Китаї (на веб-сайтах [.]cn), важливо пам’ятати про небезпеку, притаманну піратському програмному забезпеченню. На жаль, багато хто з тих, хто встановлює піратські програми, очікує побачити попередження про безпеку, тому що програмне забезпечення не є легальним. Це призводить до того, що вони швидко натискають кнопку “Встановити”, пропускаючи будь-які попередження безпеки від macOS Gatekeeper.
Крім того, встановіть надійне антивірусне та антивірусне програмне забезпечення. Хоча це конкретне шкідливе програмне забезпечення може прослизнути непоміченим, наявність додаткового рівня захисту на Mac завжди є хорошою практикою.