| 21 января 2024 г. — 10:09 PT
Специалисты по безопасности обнаружили новый штамм вредоносного ПО, скрытый в некоторых популярных пиратских приложениях для macOS. После установки приложения незаметно запускают вредоносный код, действующий как троян, в фоновом режиме компьютера пользователя. Последствия этого далеко не благоприятны…
Security Bite от 9to5Mac эксклюзивно представляется компанией Mosyle, единственной универсальной платформой для Apple. Мы специализируемся на подготовке устройств Apple к работе и обеспечении их безопасности в корпоративной среде. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения безопасности, специфичные для Apple, для полностью автоматизированного усиления защиты и соответствия требованиям, передовой EDR, основанное на ИИ нулевое доверие и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. Результатом является полностью автоматизированная универсальная платформа Apple, которой доверяют более 45 000 организаций для легкой и недорогой подготовки к работе миллионов устройств Apple. Запросите свой РАСШИРЕННЫЙ ПРОБНЫЙ ПЕРИОД сегодня и узнайте, почему Mosyle — это все, что вам нужно для работы с Apple.
Это Security Bite, ваша еженедельная колонка, посвященная безопасности на 9to5Mac. Каждое воскресенье Арин Вайчулис делится своими наблюдениями о конфиденциальности данных, выявляет уязвимости и освещает новые угрозы в обширной экосистеме Apple с более чем 2 миллиардами активных устройств. Будьте в курсе, будьте в безопасности.
При расследовании нескольких оповещений об угрозах исследователи Jamf Threat Lab наткнулись на исполняемый файл с именем .fseventsd. Этот исполняемый файл использует имя реального процесса (не случайно), встроенного в операционную систему macOS, который используется для отслеживания изменений в файлах и каталогах и хранения данных событий для таких функций, как резервное копирование Time Machine. Однако .fseventsd — это не исполняемый файл. Это нативный журнал. Кроме того, Jamf обнаружили, что Apple не подписала подозрительный файл.
«Такие характеристики часто требуют дальнейшего расследования», — заявили в Jamf Threat Labs в посте в блоге, посвященном исследованию под руководством Фердуса Салджуки и Джарона Брэдли. «Используя VirusTotal, мы смогли установить, что этот любопытный бинарный файл .fseventsd был первоначально загружен как часть большего файла DMG».
Пара обнаружила пять файлов образа диска (DMG), содержащих модифицированный код популярных пиратских приложений, включая FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT и UltraEdit.
«Эти приложения размещаются на китайских пиратских сайтах с целью захвата жертв», — объясняют в Jamf. «После активации вредоносный код загрузит и выполнит несколько полезных нагрузок в фоновом режиме, чтобы тайно скомпрометировать машину жертвы».
Хотя на первый взгляд приложения могут выглядеть и вести себя как положено, в фоновом режиме выполняется дроппер, который устанавливает связь с инфраструктурой, контролируемой злоумышленником.
На более высоком уровне бинарный файл .fseventsd выполняет три вредоносных действия (в таком порядке). Во-первых, загружается вредоносный файл dylib (динамическая библиотека), который действует как дроппер, выполняющийся каждый раз при открытии приложения. За этим следует загрузка бэкдор-бинарного файла, который использует Khepri — проект с открытым исходным кодом для командно-контрольных (C2) и постэксплуатационных действий, а также загрузчик, который устанавливает постоянство и загружает дополнительные полезные нагрузки.
Проект Khepri с открытым исходным кодом может позволить злоумышленникам собирать информацию о системе жертвы, загружать и выгружать файлы, а также открывать удаленную оболочку, объясняет Jamf. «Возможно, этот вредоносный код является преемником вредоносного кода ZuRu, учитывая целевые приложения, измененные команды загрузки и инфраструктуру злоумышленников».
Интересно, что поскольку бэкдор Khepri остается скрытым во временном файле, он удаляется всякий раз, когда Mac жертвы перезагружается или выключается. Однако вредоносный dylib снова загрузится при следующем открытии приложения пользователем.
Как защитить себя
Хотя Jamf считает, что эта атака в основном нацелена на жертв в Китае (на сайтах [.]cn), важно помнить о присущих опасностях пиратского программного обеспечения. К сожалению, многие из тех, кто устанавливает пиратские приложения, ожидают увидеть предупреждения безопасности, поскольку программное обеспечение не является легитимным. Это заставляет их быстро нажимать кнопку «Установить», пропуская любые предупреждения безопасности от Gatekeeper macOS Gatekeeper.
Кроме того, установите надежное антивирусное и анти-вредоносное программное обеспечение. Хотя этот конкретный вредоносный код может проскользнуть незамеченным, наличие дополнительного уровня защиты на Mac всегда является хорошей практикой.
Подробнее о безопасности и конфиденциальности