Des applications piratées ciblant les utilisateurs d’Apple macOS ont été observées contenant une porte dérobée capable d’accorder aux attaquants le contrôle à distance des machines infectées.
« Ces applications sont hébergées sur des sites Web de piratage chinois afin de faire des victimes », ont déclaré Ferdous Saljooki et Jaron Bradley, chercheurs de Jamf Threat Labs.
« Une fois déclenché, le malware téléchargera et exécutera plusieurs charges utiles en arrière-plan afin de compromettre secrètement la machine de la victime. »
Les fichiers d’images disque dérobés (DMG), qui ont été modifiés pour établir des communications avec une infrastructure contrôlée par des acteurs, incluent des logiciels légitimes tels que Navicat Premium, UltraEdit, FinalShell, SecureCRT et Microsoft Remote Desktop.
Les applications non signées, en plus d’être hébergées sur un site chinois nommé macyy[.]cn, incorporez un composant compte-gouttes appelé « dylib » qui est exécuté à chaque ouverture de l’application.
Le compte-gouttes agit ensuite comme un canal pour récupérer une porte dérobée (« bd.log ») ainsi qu’un téléchargeur (« fl01.log ») à partir d’un serveur distant, qui est utilisé pour configurer la persistance et récupérer des charges utiles supplémentaires sur la machine compromise. .
La porte dérobée – écrite dans le chemin « /tmp/.test » – est complète et construite sur une boîte à outils de post-exploitation open source appelée Khepri. Le fait qu’il se trouve dans le répertoire « /tmp » signifie qu’il sera supprimé à l’arrêt du système.
Cela dit, il sera recréé au même endroit la prochaine fois que l’application piratée sera chargée et que le dropper sera exécuté.
D’un autre côté, le téléchargeur est écrit dans le chemin caché « /Users/Shared/.fseventsd », après quoi il crée un LaunchAgent pour assurer la persistance et envoie une requête HTTP GET à un serveur contrôlé par un acteur.
Bien que le serveur ne soit plus accessible, le téléchargeur est conçu pour écrire la réponse HTTP dans un nouveau fichier situé dans /tmp/.fseventsds, puis le lancer.
Jamf a déclaré que le malware partage plusieurs similitudes avec ZuRu, qui a été observé dans le passé se propageant via des applications piratées sur des sites chinois.
« Il est possible que ce malware soit le successeur du malware ZuRu étant donné ses applications ciblées, ses commandes de chargement modifiées et son infrastructure d’attaquant », ont déclaré les chercheurs.