.png)
Uzmanlar, Popüler Yazılımların Korsan Sürümlerinde Gizli MacOS Arka Kapısı Konusunda Uyardı
Apple macOS kullanıcılarını hedef alan korsan uygulamaların, saldırganlara virüslü makinelere uzaktan kontrol verebilen bir arka kapı içerdiği gözlemlendi.
Jamf Threat Labs araştırmacıları Ferdous Saljooki ve Jaron Bradley, "Bu uygulamalar, kurban kazanmak için Çin korsan web sitelerinde barındırılıyor" dedi.
"Kötü amaçlı yazılım patlatıldıktan sonra, kurbanın makinesini gizlice tehlikeye atmak için arka planda birden fazla yükü indirecek ve yürütecektir."
Aktör tarafından denetlenen altyapıyla iletişim kurmak için değiştirilen arka kapılı disk görüntüsü (DMG) dosyaları, Navicat Premium, UltraEdit, FinalShell, SecureCRT ve Microsoft Remote Desktop gibi meşru yazılımları içerir.
İmzasız başvurular, macyy adlı bir Çin web sitesinde barındırılmasının yanı sıra[.] cn, uygulama her açıldığında yürütülen "dylib" adlı bir damlalık bileşeni ekleyin.
Damlalık daha sonra, güvenliği ihlal edilmiş makinede kalıcılığı ayarlamak ve ek yükler getirmek için kullanılan uzak bir sunucudan bir arka kapı ("bd.log") ve bir indirici ("fl01.log") getirmek için bir kanal görevi görür.
"/tmp/.test" yoluna yazılan arka kapı, tam özelliklidir ve Khhepri adlı açık kaynaklı bir istismar sonrası araç setinin üzerine inşa edilmiştir. "/tmp" dizininde yer alması, sistem kapatıldığında silineceği anlamına gelir.
Bununla birlikte, korsan uygulama bir sonraki yüklendiğinde ve damlalık yürütüldüğünde aynı konumda yeniden oluşturulacaktır.
Öte yandan, indirici "/Users/Shared/.fseventsd" gizli yoluna yazılır ve ardından kalıcılığı sağlamak için bir LaunchAgent oluşturur ve aktör tarafından kontrol edilen bir sunucuya bir HTTP GET isteği gönderir.
Sunucuya artık erişilemese de, indirici HTTP yanıtını /tmp/.fseventsds konumunda bulunan yeni bir dosyaya yazmak ve ardından başlatmak için tasarlanmıştır.
Jamf, kötü amaçlı yazılımın, geçmişte Çin sitelerinde korsan uygulamalar aracılığıyla yayıldığı gözlemlenen ZuRu ile birkaç benzerlik paylaştığını söyledi.
Araştırmacılar, "Bu kötü amaçlı yazılımın, hedeflenen uygulamaları, değiştirilmiş yükleme komutları ve saldırgan altyapısı göz önüne alındığında ZuRu kötü amaçlı yazılımının halefi olması mümkündür" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı