Кибервызов из Поднебесной: пиратские приложения дают хакерам полный контроль над macOS

Китай пиратские приложения macOS вредоносное ПО Jamf Threat Labs Лаборатория Касперского защита данных
Кибервызов из Поднебесной: пиратские приложения дают хакерам полный контроль над macOS
Китай пиратские приложения macOS вредоносное ПО Jamf Threat Labs Лаборатория Касперского защита данных

Как именно вредоносное ПО заражает систему?

image

По данным исследователей из компании Jamf Threat Labs, пиратские приложения для операционной системы macOS, распространяемые на китайских веб-сайтах, содержат вредоносную программу, которая позволяет злоумышленникам получить удаленный доступ к зараженным компьютерам.

Среди таких программ — популярные приложения вроде Navicat Premium, UltraEdit, FinalShell, SecureCRT и утилита удаленного доступа Microsoft Remote Desktop.

Вредоносный код, интегрированный в файлы установщиков с расширением DMG, настроен на связь с серверами злоумышленников. Кроме того, эти приложения, не имеющие цифровой подписи от разработчика, внедряют компонент под названием «dylib», который активируется при каждом запуске. Он, в свою очередь, загружает бэкдор «bd.log» и загрузчик «fl01.log» с удаленного сервера. Это позволяет закрепиться в системе и установить дополнительные модули.

Бэкдор сохраняется в каталог «/tmp/.test» и предоставляет полный доступ к зараженной системе. Поскольку он находится во временном каталоге «/tmp», то удаляется при выключении компьютера, но создается заново при следующем запуске приложения.

Тем временем загрузчик размещается в скрытом каталоге «/Users/Shared/.fseventsd», создает задание для автозапуска при включении системы и отправляет HTTP-запрос на сервер злоумышленников. Хотя в настоящее время этот сервер недоступен, изначально загрузчик был нацелен на сохранение ответа в файл «/tmp/.fseventsds» и последующий запуск полученного вредоносного кода.

По мнению экспертов, это вредоносное ПО схоже с ранее обнаруженным трояном ZuRu, который также распространялся через пиратские приложения на китайских сайтах. Вероятно, это новая версия трояна ZuRu, учитывая выбор целевых приложений, методы внедрения и инфраструктуру хакеров.

Примечательно, что исследователи «Лаборатории Касперского» недавно пришли к аналогичным выводам, обнаружив в пиратском софте для macOS вредоносную программу «Activator», которая обращается к C2-серверу злоумышленников для получения зашифрованного скрипта, а затем с его помощью скачивает и выполняет дополнительный вредоносный код, включая установку в системе скрытого бэкдора.

Таким образом, использование пиратского программного обеспечения чревато заражением компьютера вредоносными программами. Злоумышленники активно внедряют бэкдоры и другие угрозы в неофициальные установщики популярных приложений, как оказалось, не только для Windows, но и для macOS.

Именно поэтому следует использовать только лицензионное ПО из официальных магазинов приложений, чтобы обезопасить себя от кибератак. Бдительность и осмотрительность пользователей — главная защита от вредоносных программ.