Se ha observado que las aplicaciones pirateadas dirigidas a usuarios de Apple macOS contienen una puerta trasera capaz de otorgar a los atacantes control remoto de las máquinas infectadas.
«Estas aplicaciones se alojan en sitios web piratas chinos para conseguir víctimas», afirman Ferdous Saljooki y Jaron Bradley, investigadores de Jamf Threat Labs. dicho.
«Una vez detonado, el malware descargará y ejecutará múltiples cargas útiles en segundo plano para comprometer secretamente la máquina de la víctima».
Los archivos de imagen de disco con puerta trasera (DMG), que han sido modificados para establecer comunicaciones con la infraestructura controlada por el actor, incluyen software legítimo como Navicat Premium, UltraEdit, FinalShell, SecureCRT y Microsoft Remote Desktop.
Las aplicaciones no firmadas, además de estar alojadas en un sitio web chino llamado macyy[.]cn, incorpora un componente dropper llamado «dylib» que se ejecuta cada vez que se abre la aplicación.
Luego, el dropper actúa como un conducto para recuperar una puerta trasera («bd.log»), así como un descargador («fl01.log») desde un servidor remoto, que se utiliza para configurar la persistencia y recuperar cargas útiles adicionales en la máquina comprometida. .
La puerta trasera, escrita en la ruta «/tmp/.test», tiene todas las funciones y está construida sobre un conjunto de herramientas de posexplotación de código abierto llamado khepri. El hecho de que esté ubicado en el directorio «/tmp» significa que se eliminará cuando se apague el sistema.
Dicho esto, se creará nuevamente en la misma ubicación la próxima vez que se cargue la aplicación pirateada y se ejecute el dropper.
Por otro lado, el descargador se escribe en la ruta oculta «/Users/Shared/.fseventsd», después de lo cual crea un LaunchAgent para garantizar la persistencia y envía una solicitud HTTP GET a un servidor controlado por el actor.
Si bien ya no se puede acceder al servidor, el descargador está diseñado para escribir la respuesta HTTP en un nuevo archivo ubicado en /tmp/.fseventsds y luego ejecutarlo.
Jamf dijo que el malware comparte varias similitudes con ZuRuque ha sido observado en el pasado se propagaba a través de aplicaciones pirateadas en sitios chinos.
«Es posible que este malware sea un sucesor del malware ZuRu dadas sus aplicaciones específicas, sus comandos de carga modificados y su infraestructura atacante», dijeron los investigadores.