Jamf威胁实验室在1月18日发布的博文中透露,他们检测到一系列盗版macOS应用程序,这些应用程序已被修改为可与攻击者基础设施进行通信。这些应用程序被托管在一个某CN域名的MAC盗版软件下载网站上,以吸引受害者。研究人员称恶意后门允许攻击者远程控制受感染的计算机。名为“.fseventsd”二进制文件与已知的恶意软件有一些相似之处,而且增加了一个新的隐秘保护,使其与众不同。恶意应用软件将在后台下载并执行多个有效负载,以秘密危害受害者的MASOS计算机。这一发现再次证明了macOS平台存在来自盗版应用程序的风险,而且攻击者使用放置在修改后的应用程序中的恶意库来危害用户的频率不断增加。macOS企业和用户不能再盲目迷信:所有Mac本质上都是安全的。
![警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门]( "警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门")
Jamf Threat总监Jaron Bradley告诉Dark Reading,它们已被修改为可以与攻击者基础设施进行通信,尽管“它们很可能也托管在其他应用程序盗版网站上”。
Bradley表示,Jamf威胁实验室已确定该恶意软件的行为类似于Khepri开源项目中的恶意代码,尽管它似乎经过了修改,“试图使该恶意软件与操作系统上的其他进程混合在一起”。它通过重命名自身来实现这一点,以防任何人在尝试调查系统进程时遇到恶意软件。
否则,该功能就像Khepri后门一样,允许攻击者收集有关系统的信息,在用户授予权限的情况下下载和上传文件,并在计算机上打开远程shell。
研究人员最初发现了名为.fseventsd的可执行文件形式的恶意软件,这是他们在分类各种威胁警报时注意到的。该可执行文件因隐藏而引人注目(从其名称以句点开头即可证明),并且还使用操作系统内置进程的名称。它也没有被 Apple阻止,当时也没有在VirusTotal上被标记为恶意软件。
![警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门]( "警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门")
使用VirusTotal,研究人员确定.fseventsd二进制文件最初是作为更大的DMG文件的一部分上传的,该文件在其他三个盗版应用程序中发现。
通过互联网搜索,这些应用程序被追踪到了一个CN哉名的网站,该网站还提供了许多其他盗版应用程序的链接。Bradley补充道:“我们还发现另外两个DMG文件以同样的方式被木马化,但尚未进入VirusTotal。”
对该文件进行更深入的分析发现,隐藏在应用程序内的恶意软件执行了三项恶意活动。
第一个是恶意dylib,它是由应用程序加载的库,充当每次打开应用程序时执行的植入程序。
第二个是后门:恶意dylib使用Khepri开源C2和后利用工具下载的二进制文件。
第三个是持久下载器:由恶意dylib下载的二进制文件,用于设置持久性并下载额外的有效负载。
研究人员注意到该恶意软件与最初于2021年发现并由Objective-See和Trend Micro发布博客的ZuRu恶意软件有许多相似之处。ZuRu是一种先前发现的macOS数据窃取恶意软件,通过百度上的赞助搜索结果传播,并在受感染的系统上安装Cobalt Strike代理。
ZuRu恶意软件最初是在盗版应用程序iTerm、SecureCRT、Navicat Premium和Microsoft远程桌面客户端中发现的。打开受感染的应用程序后,用户会看到一个可操作的应用程序,但添加的dylib中的逻辑会在后台执行Python脚本以获取敏感文件并将其上传到攻击者服务器。鉴于其目标应用程序、修改的加载命令和攻击者基础设施,该恶意软件可能是ZuRu恶意软件的后继者。
与2021年ZuRu恶意软件的调查结果类似,根据研究人员们在VirusTotal上看到的上传内容、CN盗版网站上的应用程序托管以及与IP地址通信的攻击者基础设施,该恶意软件似乎也主要针对CN的受害者,如下所示。
![警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门]( "警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门")
Bradley说,虽然最终的有效负载不同,但这两种恶意软件在它们所破坏的应用程序、都使用的dylib技术以及它们用于基础设施的域方面具有相似之处。
然而Bradley最后表示,最终被删除的恶意软件与最初的ZuRu有很大不同,因此很难判断它是否直接相关。
总体而言,该活动再次证明了macOS平台存在来自盗版应用程序的风险,但更重要的是,攻击者使用放置在修改后的应用程序中的恶意库来危害用户的频率不断增加。macOS企业和用户应该避免犯的一个关键错误是“所有Mac本质上都是安全的”这一假设。事实上,过去几年,攻击者对该平台的攻击明显增多,他们现在甚至正在创建定制的macOS恶意软件,包括可以破解Apple内置软件保护的信息窃取程序。
Bradley表示,这种技术通常会使检测和分析变得更加困难。这表明恶意软件作者越来越熟悉macOS操作系统,并且正在花时间变得更加隐蔽。
Bradley建议企业使用既能检测和阻止macOS上的威胁又能阻止用户访问已知用于托管盗版软件的网站的软件。此外,强烈建议所有macOS用户不要下载盗版应用程序,无论是在家中、使用公司VPN时还是在办公室。
Jamf威胁实验室表示,这并不是他们第一次在盗版应用程序中发现恶意软件。与安装盗版应用程序的用户打交道的主要困难之一是,由于软件不合法,他们希望看到安全警报。而盗版用户愿意跳过操作系统中内置的任何安全警告提示,例如Gatekeeper,它通知用户这些应用程序无法安全打开。Jamf威胁实验室始终保持警惕,检测这些变化,通过Jamf Protect中的威胁防御功能阻止此恶意软件,从而确保客户安全。
Jamf威胁实验室主要监控和探索影响Mac和移动设备的新兴威胁。该团队发表的研究成果旨在提高对特定威胁的认识,同时提高对保护现代劳动力的安全实践的认识和宣传。
![警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门]( "警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门")
![警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门]( "警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门")
1、https://www.jamf.com/blog/jtl-malware-pirated-applications/
2、https://www.darkreading.com/vulnerabilities-threats/stealthy-backdoor-found-hiding-in-pirated-macos-apps
3、https://objective-see.org/blog/blog_0x6B.html?mc_cid=b290d3ad64&mc_eid=ffc6f25574
原文始发于微信公众号(关键基础设施安全应急响应中心):警惕!国内某Mac应用软件下载网站上隐藏着新的MacOS后门
评论