关于某.cn的MAC应用软件网站隐藏着MacOS后门

前言

1月18日Jamf 威胁实验室发布博客称发现国内某mac应用软件下载网站存在后门。根据Jamf威胁实验室分析发现本次事件中的后门与ZuRu 恶意软件有相似之处，ZuRu恶意软件最初于 2021 年发现并由Objective-See和Trend Micro发现并发布。

Jamf 威胁实验室对创建的各种威胁警报进行分类时，偶然发现了一个名为.fseventsd的文件 该可执行文件是隐藏的（以.开头）并使用操作系统内置的进程的名称。最重要的是，它也没有经过Apple 签名，并且在Jamf研究时发现， VirusTotal 未检测出恶意行为。

相关样本链接：https://www.virustotal.com/gui/file/1b2d50cdacfd39205c3caff2925eb35b59312dbe099bd3a98ae3b2f2f909ab17

时间：2024-01-17 VirusTotal 将 .fseventsd 标记为非恶意样本。

时间：2024-01-19  VirusTotal 将 .fseventsd 标记为恶意样本。

通过 VirusTotal，能够确定这个看起来很奇怪的.fseventsd 二进制文件最初是作为更大的 DMG 文件的一部分上传的。在 VirusTotal 上查找类似文件后，发现了三个盗版应用程序，它们都带有相同恶意软件的后门。在互联网上搜索这些应用程序后，我们发现许多应用程序都托管在xxxxx.cn一个中文网站上，该网站提供了许多盗版应用程序的链接。我们还发现另外两个 DMG 以相同的方式被木马化，目前已被VirusTotal所识别。

带后门 DMG 的列表 : 

navicat161_premium_cs.dmg - ca91c796f211f49b789b0bcdb1e07a26433c1c2d
ultraedit.dmg - 40ad975e6656c9050325c4d5c989795c14665ba7
FinalShell.dmg - 1bb0ad2dbec93fb4f3c7b95975e95899c2ed747b
secureCRT.dmg - daa12a5a3f393590e74338a19af444a706b122dd
Microsoft-Remote-Desktop-Beta.dmg - d6527dad7a263d5a5d2699e4fb47461567c03ff1

根据Jamf所提供的信息，发现目前xxxxx.cn上发布的SecureCRT软件仍然为存在后门的版本，验证sha1结果如下：

SecureCRT在xxxxx.cn所提供的下载地址：

https://www.123pan.com/s/w9CAjv-0AkNv.html

盗版应用程序相关的文件信息

文件名：navicat161_premium_cs.dmg

Filename: navicat161_premium_cs.dmg
SHA1: ca91c796f211f49b789b0bcdb1e07a26433c1c2d
DylibPath: Navicat Premium.app/Contents/Frameworks/libpng.dylib
DylibHash: c20ece082eefb432fa98a0e1535b4b4bdf6c97d3
DownloadUrls: download.macnavicat.com/bd.log , download.macnavicat.com/nv01.log
EncodedPersistentDownloaderHash: 72d307e57c1cb3afba325620b4328408053ff8f2 [bd.log]
EncodedBackdoorHash: 9e4f26badf2837d3d07fc234ef142b2cff578b6f [nv01.log]
BackdoorHash: 1220bd814d4ac523b9a2c47d22bc01c43eb4bde3 [/tmp/.test]
BackdoorUrl: ctl01.macnavicat.com -> 47.242.144.113
PersistentDownloaderHash: 408e24049e31f6121de57a5e041a350599be42ea [/Users/Shared/.fseventsd]
PersistentDownloaderUrl: bd.macnavicat.com/fs.log

文件名: SecureCRT.dmg 

Filename: secureCRT.dmg
SHA1: daa12a5a3f393590e74338a19af444a706b122dd
DylibPath: SecureCRT.app/Contents/Frameworks/libpng.dylib
DylibHash: d67726952ab17c1e3acef6e57bf1a24c98187810
DownloadUrls: download.securecrt.vip/bd.log , download.securecrt.vip/se01.log
EncodedPersistentDownloaderHash: 8c7fc196befb270bb7774fdd142add868a2ed102 [bd.log]
EncodedBackdoorHash: d1ebeca5c94732e4b5c3c0e492f3439ea6ac8b1e [se01.log]
BackdoorHash: 702a73ea8dbac7d8661cfdf687e1571c81efbc98 [/tmp/.test]
BackdoorUrl: securecrt.securecrt.cc -> 8.217.76.133
PersistentDownloaderHash: 227e7efae06fd0a52bfddb5edab071bafe770b2e [/Users/Shared/.fseventsd]
PersistentDownloaderUrl: bd.xmindcn.cc/fs.log 

文件名：ultraedit.dmg

Filename: ultraedit.dmg
SHA1: 40ad975e6656c9050325c4d5c989795c14665ba7
DylibPath: UltraEdit.app/Contents/Resources/libConfigurer64.dylib
DylibHash: 7f5a34b0cfef974122d6717c60d68f0ac4ca46e0
DownloadUrls: download.ultraedit.info/bd.log , download.ultraedit.info/ud01.log
EncodedPersistentDownloaderHash: 06768b288951539257c1d3cc83acf1494237ae4d [bd.log]
EncodedBackdoorHash: f23b0bc2089529e2f2aecf172614871c5b4a4057 [ud01.log]
BackdoorHash: 5365597ecc3fc59f09d500c91c06937eb3952a1d [/tmp/.test]
BackdoorUrl: ultraedit.ultraedit.vip -> 8.217.206.134
PersistentDownloaderHash: c265765a15a59191240b253db33554622393ea59 [/Users/Shared/.fseventsd]
PersistentDownloaderUrl: bd.ultraedit.vip/fs.log

文件名：FinalShell.dmg

Filename: FinalShell.dmg
SHA1: 1bb0ad2dbec93fb4f3c7b95975e95899c2ed747b
DylibPath: FinalShell.app/Contents/Runtime/libpng.dylib
DylibHash: ed0b4184e79ab74852dc45d053064902370d0bec
DownloadUrls: download.finallshell.cc/bd.log , download.finallshell.cc/fl01.log
EncodedPersistentDownloaderHash: 8a300f7070a83b234359974359a70503976f137e [bd.log]
EncodedBackdoorHash: c39b98a003e8485db77abe17ee88ccbab5bfc662 [fl01.log]
BackdoorHash: 1bfa8ce2a7c6dda4239f3c89803a0995b22427de [/tmp/.test]
BackdoorUrl: finalshell.finalshell.me -> 8.217.132.190
PersistentDownloaderHash: 5145696f4032d54f36c0d959d7f0df06647c5deb [/Users/Shared/.fseventsd]
PersistentDownloaderUrl: bd.vscode.digital/fs.log

文件名：Microsoft-Remote-Desktop-Beta.dmg

Filename: Microsoft-Remote-Desktop-Beta.dmg
SHA1: d6527dad7a263d5a5d2699e4fb47461567c03ff1
DylibPath: Microsoft Remote Desktop Beta.app/Contents/Frameworks/libpng.dylib
DylibHash: 62aee7dadfb20442bbb2e89c98aa6a5fbc603829
DownloadUrls: download.rdesktophub.com/bd.log , download.rdesktophub.com/rt01.log
EncodedPersistentDownloaderHash: b14fd87246211e2232ab381cb70a020b8c2ff420 [bd.log]
EncodedBackdoorHash: 912e6bb2e502f2f553f19e7e77fa3310a0b0df18 [rt01.log]
BackdoorHash: 54becb469a94fb2b9cea92ae5e0adeed2dcdf796 [/tmp/.test]
BackdoorUrl: remote.rdesktopconnect.com -> 47.242.252.82
PersistentDownloaderHash: 908a3064cfa8e9fcb95552b08e064458ae6c20f3 [/Users/Shared/.fseventsd]
PersistentDownloaderUrl: bd.rdesktopconnect.com/fs.log

参考文章

https://www.jamf.com/blog/jtl-malware-pirated-applications/https://mp.weixin.qq.com/s/fGAI8Z_v9jXYxLwVwLTOHw