Gli esperti di sicurezza lanciano un allarme su una backdoor nascosta in versioni piratate di popolari software per utenti Apple macOS. Secondo i ricercatori di Jamf Threat Labs, Ferdous Saljooki e Jaron Bradley, queste applicazioni vengono ospitate su siti di pirateria cinesi per attirare vittime inconsapevoli.
Trojan difficilmente rilevabile
Una volta attivata, la backdoor scarica ed esegue diversi payload in background per compromettere segretamente la macchina della vittima. I file DMG backdoor, che includono software legittimi come Navicat Premium, UltraEdit, FinalShell, SecureCRT e Microsoft Remote Desktop, sono stati modificati per stabilire comunicazioni con infrastrutture controllate dagli attaccanti.
Componenti Pericolosi
Le applicazioni non firmate, ospitate su un sito web cinese, includono un componente dropper chiamato “dylib”, che viene eseguito ogni volta che si apre l’applicazione. Questo dropper agisce come un canale per scaricare un backdoor (“bd.log”) e un downloader (“fl01.log”) da un server remoto, usati per garantire la persistenza e scaricare ulteriori payload sul dispositivo compromesso.
La Backdoor Khepri
La backdoor, scritta nel percorso “/tmp/.test”, è completa e basata sul toolkit di post-sfruttamento open-source chiamato Khepri. Si trova nella directory “/tmp”, il che significa che verrà eliminata allo spegnimento del sistema, ma verrà ricreata ogni volta che l’applicazione piratata viene caricata e il dropper eseguito.
Downloader nascosto
Il downloader, scritto nel percorso nascosto “/Users/Shared/.fseventsd”, crea un LaunchAgent per garantire la persistenza e invia una richiesta HTTP GET a un server controllato dagli attaccanti. Anche se il server non è più accessibile, il downloader è progettato per scrivere la risposta HTTP in un nuovo file situato in /tmp/.fseventsds e poi lanciarlo.
Similitudini con il Malware ZuRu
Jamf ha rilevato diverse somiglianze tra questo malware e ZuRu, un malware osservato in passato diffondersi tramite applicazioni piratate su siti cinesi. I ricercatori suggeriscono che questo malware potrebbe essere un successore di ZuRu, data la sua mira su applicazioni specifiche, comandi di caricamento modificati e infrastruttura degli attaccanti.
Consigli di Sicurezza
Questo allarme evidenzia l’importanza di scaricare software solo da fonti affidabili e ufficiali. Gli utenti macOS devono essere particolarmente cauti con il software scaricato da siti di pirateria, poiché possono nascondere minacce di sicurezza gravi e difficili da rilevare come le backdoor.