Новости Опасность из Поднебесной: пиратские приложения дают хакерам полный контроль над macOS

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Как именно вредоносное ПО заражает систему?


e2nh307ohbx73noatuee7kjn2obco1vg.jpg


По данным исследователей из компании Для просмотра ссылки Войди или Зарегистрируйся , пиратские приложения для операционной системы macOS , распространяемые на китайских веб-сайтах, содержат вредоносную программу, которая позволяет злоумышленникам получить удаленный доступ к зараженным компьютерам.

Среди таких программ — популярные приложения вроде Navicat Premium, UltraEdit, FinalShell, SecureCRT и утилита удаленного доступа Microsoft Remote Desktop.

Вредоносный код, интегрированный в файлы установщиков с расширением DMG, настроен на связь с серверами злоумышленников. Кроме того, эти приложения, не имеющие цифровой подписи от разработчика, внедряют компонент под названием «dylib», который активируется при каждом запуске. Он, в свою очередь, загружает бэкдор «bd.log» и загрузчик «fl01.log» с удаленного сервера. Это позволяет закрепиться в системе и установить дополнительные модули.

Бэкдор сохраняется в каталог «/tmp/.test» и предоставляет полный доступ к зараженной системе. Поскольку он находится во временном каталоге «/tmp», то удаляется при выключении компьютера, но создается заново при следующем запуске приложения.

Тем временем загрузчик размещается в скрытом каталоге «/Users/Shared/.fseventsd», создает задание для автозапуска при включении системы и отправляет HTTP-запрос на сервер злоумышленников. Хотя в настоящее время этот сервер недоступен, изначально загрузчик был нацелен на сохранение ответа в файл «/tmp/.fseventsds» и последующий запуск полученного вредоносного кода.

По мнению экспертов, это вредоносное ПО схоже с ранее обнаруженным Для просмотра ссылки Войди или Зарегистрируйся , который также распространялся через пиратские приложения на китайских сайтах. Вероятно, это новая версия трояна ZuRu, учитывая выбор целевых приложений, методы внедрения и инфраструктуру хакеров.
 
Источник новости
www.securitylab.ru

Похожие темы