Jamf 威脅實驗室最新揭露,一系列盜版 macOS 應用程式疑似被植入了與 ZuRu 惡意軟件相似的惡意程式碼。這些應用程式被發現會在用戶無察覺的情況下,下載並執行多個有效載荷以侵害使用者的設備。
研究由 Jamf 威脅實驗室的 Ferdous Saljooki 和 Jaron Bradley 領導,他們發現這些被修改過的應用程式,通過中國的盜版網站散播,目的是獲取受害者。一旦啟動,這些惡意程式碼將會在背景中下載並執行多個有效載荷,秘密地侵害受害者的設備。
在進行各種威脅警報的篩選時,研究人員偶然發現了一個名為.fseventsd 的可執行檔,該檔案由於其隱藏性(以句點開頭)和使用了內建於作業系統中的進程名稱而引起注意。此外,該檔案並未由 Apple 簽名,在研究時刻 VirusTotal 上也沒有顯示為惡意。
進一步的調查發現,這個可疑的 .fseventsd 二進位檔原本是作為更大的 DMG 檔案的一部分上傳的。研究人員在 VirusTotal 上尋找類似檔案時,發現了三個被同一惡意軟件後門入侵的盜版應用。網上搜索這些應用程式時,發現許多被托管在 macyy[.]cn 這個中國網站。此外,他們還發現了兩個以同樣方式被木馬化的 DMG 檔案,這些檔案尚未出現在 VirusTotal 上。
這些被侵害的 DMG 檔案包括 navicat161_premium_cs.dmg、ultraedit.dmg、FinalShell.dmg、secureCRT.dmg 和 Microsoft-Remote-Desktop-Beta.dmg 等。這些盜版應用程式在執行時會觸發惡意活動,包括一個由應用程式載入的惡意庫(dylib),該庫作為每次開啟應用時會執行的下載器,以及一個由惡意 dylib 下載的後門程式,它使用 Khepri 開源 C2 和後期利用工具,還有一個由惡意 dylib 下載的持久性下載器,它設置持久性並下載額外有效載荷。
資料來源:TechNews
