Ανακαλύφθηκε νέο κακόβουλο λογισμικό για macOS

Το Jamf Threat Labs ανακοίνωσε την Πέμπτη 18/1 ότι ανακάλυψε μια νέα απειλή κακόβουλου λογισμικού στο macOS. Το κακόβουλο λογισμικό είναι παρόμοιο με το ZuRu που ανακαλύφθηκε το 2021.

Αυτό διανέμεται μέσω πειρατικού λογισμικού που φιλοξενείται στην Κίνα. Όταν ένας χρήστης εκκινεί την πειρατική εφαρμογή, μια δυναμική βιβλιοθήκη που είναι συνδεδεμένη στην εφαρμογή χρησιμοποιεί μια κερκόπορτα που έχει δημιουργηθεί με το ανοιχτού κώδικα εργαλείο μετα-εκμετάλλευσης Khepri. Αυτό επιτρέπει στο κακόβουλο λογισμικό να αποφύγει τον εντοπισμό από κάποιο λογισμικό προστασίας από ιούς. Στη συνέχεια, επικοινωνεί με τον εισβολέα, ο οποίος μπορεί να φορτώσει λογισμικό στο Mac-στόχο και να τον ελέγξει.

Το Jamf Threat Labs ανακάλυψε το κακόβουλο λογισμικό κατά τη διερεύνηση άλλων απειλών. Ένα εκτελέσιμο αρχείο με το όνομα ".fseventsd" ξεχώρισε επειδή είναι κρυφό και έχει το ίδιο όνομα με μια διεργασία στο macOS. Ο Jamf σημειώνει επίσης ότι το εκτελέσιμο αρχείο δεν είχε υπογραφεί από την Apple και δεν επισημάνθηκε ως κακόβουλο στο VirusTotal, έναν ιστότοπο που αναλύει ύποπτα αρχεία.

Οι πειρατικές εφαρμογές όπου το Jamf ανακάλυψε το κακόβουλο λογισμικό περιλαμβάνουν το FinalShell, το Microsoft Remote Desktop Client, το Navicat Premium, το SecureCRT και το UltraEdit. «Είναι πιθανό αυτό το κακόβουλο λογισμικό να είναι διάδοχος του κακόβουλου λογισμικού ZuRu δεδομένων των στοχευμένων εφαρμογών, των τροποποιημένων εντολών φόρτωσης και της υποδομής εισβολέων», σύμφωνα με τον Jamf.

Πηγη: Μacworld