Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến

www.tuoitre.vn -   19/01/2024 08:00:00 72

Các ứng dụng lậu nhắm mục tiêu vào người dùng macOS của Apple đã được phát hiện có chứa một cửa sau có khả năng cấp cho kẻ tấn công quyền điều khiển từ xa đối với các máy bị nhiễm.

Các chuyên gia cảnh báo về cửa sau macOS ẩn trong phiên bản lậu của phần mềm phổ biến

Các nhà nghiên cứu Ferdous Saljooki và Jaron Bradley của Jamf Threat Labs cho biết: “Các ứng dụng này đang được lưu trữ trên các trang web vi phạm bản quyền của Trung Quốc nhằm thu hút nạn nhân”.

“Sau khi phát nổ, phần mềm độc hại sẽ tải xuống và thực thi nhiều tải trọng ở chế độ nền để bí mật xâm phạm máy của nạn nhân.”

Các tệp hình ảnh đĩa cửa sau (DMG), đã được sửa đổi để thiết lập liên lạc với cơ sở hạ tầng do tác nhân kiểm soát, bao gồm phần mềm hợp pháp như Navicat Premium, UltraEdit, FinalShell, SecureCRT và Microsoft Remote Desktop.

Các ứng dụng chưa được ký, ngoài việc được lưu trữ trên một trang web Trung Quốc có tên macyy[.]cn, còn kết hợp một thành phần nhỏ giọt có tên là "dylib" được thực thi mỗi khi ứng dụng được mở.

Sau đó, ống nhỏ giọt hoạt động như một ống dẫn để tìm nạp cửa sau ("bd.log") cũng như trình tải xuống ("fl01.log") từ máy chủ từ xa, được sử dụng để thiết lập tính bền vững và tìm nạp tải trọng bổ sung trên máy bị xâm nhập .

Cửa hậu – được ghi vào đường dẫn “/tmp/.test” – có đầy đủ tính năng và được xây dựng trên bộ công cụ mã nguồn mở sau khai thác có tên Khepri. Việc nó nằm trong thư mục "/tmp" có nghĩa là nó sẽ bị xóa khi hệ thống tắt.

Điều đó có nghĩa là nó sẽ được tạo lại ở cùng một vị trí vào lần tiếp theo khi ứng dụng vi phạm bản quyền được tải và trình nhỏ giọt được thực thi.

Mặt khác, trình tải xuống được ghi vào đường dẫn ẩn "/Users/Shared/.fseventsd", sau đó nó tạo ra LaunchAgent để đảm bảo tính bền vững và gửi yêu cầu HTTP GET đến máy chủ do tác nhân kiểm soát.

Mặc dù máy chủ không thể truy cập được nữa nhưng trình tải xuống được thiết kế để ghi phản hồi HTTP vào một tệp mới có tại /tmp/.fseventsds rồi khởi chạy nó.

Jamf cho biết phần mềm độc hại này có một số điểm tương đồng với ZuRu, loại phần mềm đã được quan sát thấy trước đây lây lan qua các ứng dụng vi phạm bản quyền trên các trang web của Trung Quốc.

Các nhà nghiên cứu cho biết: “Có thể phần mềm độc hại này là sự kế thừa của phần mềm độc hại ZuRu dựa trên các ứng dụng được nhắm mục tiêu, các lệnh tải đã được sửa đổi và cơ sở hạ tầng của kẻ tấn công”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 165
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 91
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 238
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 230
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 278
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 144
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

LIÊN HỆ

Thông tin liên hệ