Кибервызов из Поднебесной: пиратские приложения дают хакерам полный контроль над macOS

По данным исследователей из компании Jamf Threat Labs , пиратские приложения для операционной системы macOS, распространяемые на китайских веб-сайтах, содержат вредоносную программу, которая позволяет злоумышленникам получить удаленный доступ к зараженным компьютерам.

Среди таких программ — популярные приложения вроде Navicat Premium, UltraEdit, FinalShell, SecureCRT и утилита удаленного доступа Microsoft Remote Desktop.

Вредоносный код, интегрированный в файлы установщиков с расширением DMG, настроен на связь с серверами злоумышленников. Кроме того, эти приложения, не имеющие цифровой подписи от разработчика, внедряют компонент под названием «dylib», который активируется при каждом запуске. Он, в свою очередь, загружает бэкдор «bd.log» и загрузчик «fl01.log» с удаленного сервера. Это позволяет закрепиться в системе и установить дополнительные модули.

Бэкдор сохраняется в каталог «/tmp/.test» и предоставляет полный доступ к зараженной системе. Поскольку он находится во временном каталоге «/tmp», то удаляется при выключении компьютера, но создается заново при следующем запуске приложения.

Тем временем загрузчик размещается в скрытом каталоге «/Users/Shared/.fseventsd», создает задание для автозапуска при включении системы и отправляет HTTP-запрос на сервер злоумышленников. Хотя в настоящее время этот сервер недоступен, изначально загрузчик был нацелен на сохранение ответа в файл «/tmp/.fseventsds» и последующий запуск полученного вредоносного кода.

По мнению экспертов, это вредоносное ПО схоже с ранее обнаруженным трояном ZuRu , который также распространялся через пиратские приложения на китайских сайтах. Вероятно, это новая версия трояна ZuRu, учитывая выбор целевых приложений, методы внедрения и инфраструктуру хакеров.

Примечательно, что исследователи «Лаборатории Касперского» недавно пришли к аналогичным выводам , обнаружив в пиратском софте для macOS вредоносную программу «Activator», которая обращается к C2-серверу злоумышленников для получения зашифрованного скрипта, а затем с его помощью скачивает и выполняет дополнительный вредоносный код, включая установку в системе скрытого бэкдора.

Таким образом, использование пиратского программного обеспечения чревато заражением компьютера вредоносными программами. Злоумышленники активно внедряют бэкдоры и другие угрозы в неофициальные установщики популярных приложений, как оказалось, не только для Windows, но и для macOS.

Именно поэтому следует использовать только лицензионное ПО из официальных магазинов приложений, чтобы обезопасить себя от кибератак. Бдительность и осмотрительность пользователей — главная защита от вредоносных программ.