Gli esperti di sicurezza hanno individuato una nuova variante di malware nascosta in alcune applicazioni macOS comunemente craccate. Una volta installate, le app eseguono, in modo inconsapevole per l’utente, malware simile a un trojan in background sul Mac. Ciò che accade da questo punto in poi non è nulla di positivo.
Durante l’indagine su diversi avvisi di minacce, i ricercatori di Jamf Threat Lab hanno scoperto un file eseguibile con il nome “.fseventsd”. L’eseguibile utilizza il nome di un processo effettivo (non per caso) integrato nel sistema operativo macOS utilizzato per tracciare le modifiche ai file e alle directory e memorizzare i dati degli eventi per funzionalità come i backup di Time Machine. Tuttavia, “.fseventsd” non è un eseguibile. È un log nativo.
“Caratteristiche di questo tipo spesso richiedono ulteriori indagini”, ha affermato Jamf Threat Labs in un post sul blog sulla ricerca condotta da Ferdous Saljooki e Jaron Bradley. “Utilizzando VirusTotal, siamo stati in grado di determinare che questo binario .fseventsd dall’aspetto curioso è stato originariamente caricato come parte di un file DMG più grande”.
Il duo ha scoperto cinque file immagine del disco (DMG) contenenti codice modificato di applicazioni comunemente piratate, tra cui FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT e UltraEdit.
“Queste applicazioni sono ospitate su siti web di pirateria cinesi al fine di ottenere vittime”, spiega Jamf. “Una volta aperto, il malware scaricherà ed eseguirà più carichi in background per compromettere segretamente la macchina della vittima”.
Anche se, apparentemente, le app possono sembrare e comportarsi come previsto, in background viene eseguito un dropper (un programma creato per installare un malware, un virus, o aprire una backdoor su un sistema) per stabilire comunicazioni con un’infrastruttura controllata dall’attaccante. A un livello più elevato, il binario “.fseventsd” esegue tre attività dannose (in questo ordine). In primo luogo, viene caricato il file dylib dannoso (libreria dinamica), che funge da dropper eseguendo ogni volta che l’applicazione viene aperta. Segue il download di un binario backdoor che utilizza lo strumento open source di comando e controllo (C2) e post-esecuzione Khepri e un downloader che stabilisce la persistenza e scarica payload aggiuntivi.
Il progetto open source Khepri può consentire agli attaccanti di raccogliere informazioni sul sistema della vittima, scaricare e caricare file e persino aprire una shell remota, spiega Jamf.
“È possibile che questo malware sia un successore del malware ZuRu, dati i suoi applicativi mirati, i comandi di caricamento modificati e l’infrastruttura dell’attaccante”.
Curiosamente, poiché il backdoor Khepri rimane nascosto in un file temporaneo, si cancella ogni volta che il Mac della vittima si riavvia o si spegne. Tuttavia, il dylib dannoso si caricherà nuovamente ogni volta che l’utente apre l’applicazione.
Come proteggersi
Sebbene Jamf ritenga che questo attacco miri principalmente alle vittime in Cina (su siti .cn), è importante ricordare i pericoli dei software pirata. Sfortunatamente, molti di coloro che installano app craccate si aspettano di vedere avvisi di sicurezza perché il software non è legittimo. Ciò li porta a premere rapidamente il pulsante “Installa”, ignorando qualsiasi avviso di sicurezza da parte di macOS Gatekeeper.
Inoltre, è importante installare un software antivirus e anti-malware affidabile. Sebbene questo particolare malware possa sfuggire indenne, avere un ulteriore strato di difesa su Mac è sempre una buona pratica.
Leggi o Aggiungi Commenti