Apple macOS kullanıcılarını hedef alan korsan uygulamaların, saldırganlara virüslü makineleri uzaktan kontrol etme olanağı sağlayan bir arka kapı içerdiği gözlemlendi.
Jamf Threat Labs araştırmacıları Ferdous Saljooki ve Jaron Bradley, “Bu uygulamalar kurban kazanmak amacıyla Çin korsan web sitelerinde barındırılıyor” dedi.
“Kötü amaçlı yazılım bir kez patlatıldığında, kurbanın makinesini gizlice tehlikeye atmak için arka planda birden fazla veri indirip çalıştıracak.”
Aktör kontrollü altyapıyla iletişim kuracak şekilde değiştirilen arka kapılı disk görüntüsü (DMG) dosyaları Navicat Premium, UltraEdit, FinalShell, SecureCRT ve Microsoft Remote Desktop gibi meşru yazılımları içeriyor.
İmzasız uygulamalar, macyy adlı Çin web sitesinde barındırılmasının yanı sıra[.]cn’de, uygulama her açıldığında çalıştırılan “dylib” adı verilen bir damlalık bileşeni içerir.
Damlalık daha sonra uzak bir sunucudan bir arka kapıyı (“bd.log”) ve bir indiriciyi (“fl01.log”) getirmek için bir kanal görevi görür; bu, kalıcılığı ayarlamak ve ele geçirilen makineye ek yükler getirmek için kullanılır. .
“/tmp/.test” yoluna yazılan arka kapı tam özelliklidir ve Khepri adı verilen açık kaynaklı bir kullanım sonrası araç seti üzerine inşa edilmiştir. “/tmp” dizininde yer alması, sistem kapatıldığında silineceği anlamına gelir.
Bununla birlikte, korsan uygulama bir sonraki yüklendiğinde ve damlalık çalıştırıldığında aynı konumda yeniden oluşturulacaktır.
Öte yandan, indirici “/Users/Shared/.fseventsd” gizli yoluna yazılır ve ardından kalıcılığı sağlamak için bir LaunchAgent oluşturur ve aktör kontrollü bir sunucuya bir HTTP GET isteği gönderir.
Sunucuya artık erişilemese de indirici, HTTP yanıtını /tmp/.fseventsds konumunda bulunan yeni bir dosyaya yazacak ve ardından onu başlatacak şekilde tasarlanmıştır.
Jamf, kötü amaçlı yazılımın geçmişte Çin sitelerindeki korsan uygulamalar aracılığıyla yayıldığı gözlemlenen ZuRu ile birçok benzerliğe sahip olduğunu söyledi.
Araştırmacılar, “Hedeflenen uygulamaları, değiştirilmiş yükleme komutları ve saldırgan altyapısı göz önüne alındığında, bu kötü amaçlı yazılımın ZuRu kötü amaçlı yazılımının devamı olması mümkün” dedi.