Le copie piratate fungono da cavalli di Troia per malware Mac ben mascherati

Una recente indagine condotta da Jamf Threat Labs mostra che una grande quantità di malware viene distribuita tramite piattaforme cinesi per programmi Mac piratati. Vengono offerte tra l'altro versioni gratuite di Microsoft Remote Desktop, SecureCRT, FinalShell, UltraEdit e Navicat Premium, che vengono integrate al più tardi durante l'esecuzione Malware inizio. Ciò crea, tra le altre cose: uno Porta posteriore per caricare elementi aggiuntivi. Inoltre, un eventuale accesso da parte di terzi può comportare la perdita di dati sensibili. Le persone colpite in precedenza spesso semplicemente cancellavano le istruzioni di sicurezza di macOS perché utilizzavano consapevolmente copie piratate.

Un malware appena scoperto sta arrivando sul Mac di Apple tramite app piratate. Accettando attivamente l'esecuzione e concedendo determinati diritti, i contenuti dannosi e ben mascherati possono agire liberamente.
Un malware appena scoperto sta arrivando sul Mac di Apple tramite app piratate. Accettando attivamente l'esecuzione e concedendo determinati diritti, i contenuti dannosi e ben mascherati possono agire liberamente.

Contenuti individuali del nuovo malware per Mac

Oltre al download dell'app, che è un'azione desiderata e può far sì che un programma funzioni davvero, il download di copie piratate infette ha conseguenze impreviste. Se viene eseguito il programma, ufficialmente a pagamento ma gratuito tramite la copia piratata, non vengono avviati solo i contenuti necessari per il suo funzionamento. Almeno questi tre elementi vengono portati sul Mac in background:

  • directory dylib: contiene il malware e si apre ogni volta che viene eseguito il programma infetto. Dalla directory viene avviato il malware integrato ed eventualmente caricato anche in aggiunta.
  • Porta posteriore: Il malware dylib ricarica una backdoor basata sul software open source Khepri. Ciò facilita l'installazione di malware aggiuntivo o il furto di dati.
  • Downloader indipendente: Mentre i due elementi sopra menzionati vengono utilizzati solo quando l'app infetta è in esecuzione, una volta installata, questo downloader può funzionare anche senza la copia piratata grazie al contenuto dylib. Ciò significa che può scaricare più malware anche dopo il riavvio del Mac.

Il malware causa danni in modo ben mascherato

Rilevare il nuovo malware, che si dice sia basato (almeno in parte) sul malware ZuRu del 2021, a quanto pare non è così facile. Perché le directory richieste, i file eseguibili e altri contenuti sono ben mascherati. Tra l'altro vengono assegnati nomi che potrebbero essere attribuiti anche a contenuti macOS.

Il primo malware eseguito, che crea la directory dylib e da lì esegue ulteriori passaggi, si chiama “.fseventsd”. Questo è lo stesso nome di quello di macOS Demone ha. Il nome risalta Fs Ssistema Eventi Daemon insieme; il processo monitora file, cartelle e app per documentare e applicare le modifiche.

Tuttavia, il contenuto “.fseventsd” delle app piratate non ha nulla a che fare con questo processo intenzionale controllato da macOS. Quando viene eseguito, vengono visualizzati due download poco appariscenti chiamati /tmp/.test e /Users/Shared/.fseventsd creato.

Poiché l'accesso è già stato concesso per eseguire l'app infetta e il file Gatekeeper è stato aggirato, i nuovi download possono ora sfogarsi relativamente indisturbati. Per non essere rilevato, viene utilizzata anche una directory chiamata ~/Library/LaunchAgents/com.apple.fsevents.plist. Il "com.apple" in esso contenuto ha lo scopo di farti pensare che sia una directory macOS ufficiale.

Aumento dell’uso della pirateria e dei cavalli di Troia

Come già Rivelato all'inizio di novembre 2023, per la prima volta dal 2020, i dati relativi all'utilizzo di copie piratate sono nuovamente in aumento. E anche se questo vale soprattutto per media come film, serie TV e musica, l'abituarsi ai contenuti Internet gratuiti è spesso accompagnato dalla ricerca di versioni gratuite di app che in realtà devono essere pagate.

Adesso lo trovi cavalli di TroiaSe sono presenti contenuti malware oltre al programma, può succedere di tutto. Dalla perdita di dati inosservata all'accesso alle password fino al blocco dell'intero disco rigido, tutto è incluso. Ecco perché dovresti ottenere app solo dall'App Store o direttamente dai siti Web degli sviluppatori carico – anche se costa qualcosa.

Ricerca approfondita da Jamf Thread Labs

Questo articolo fornisce solo una panoramica riepilogativa della minaccia malware appena scoperta dalle app piratate su Apple Mac. Se desideri consultare l'intero rapporto, inclusa la valutazione professionale del processo malware, dai un'occhiata qui: https://www.jamf.com/blog/jtl-malware-pirated-applications/ 

I miei consigli e trucchi sulla tecnologia e su Apple

Ti è piaciuto l'articolo e le istruzioni sul blog ti hanno aiutato? Allora sarei felice se tu il blog tramite un'iscrizione stabile sosterrebbe.

2 commenti su "Copie piratate come cavalli di Troia per malware Mac ben mascherati"

  1. Grazie per aver condiviso queste importanti informazioni. Purtroppo il Mac non è immune agli attacchi e molti utenti pensano di essere al sicuro.

    1. Sì, anch'io la penso così... Non ho un programma antivirus perché penso che se non inserisco la password dell'amministratore nel posto sbagliato, non succederà molto. Ma ci sono sempre delle lacune nella sicurezza in Webkit o in altre parti di macOS e quindi i malintenzionati riescono a passare senza una password di amministratore. Quindi la prudenza è sempre una buona cosa.

Scrivi un commento

Il tuo indirizzo e-mail non verrà pubblicato. I campi obbligatori sono contrassegnati con * segnato

Nel blog di Sir Apfelot troverai consigli, istruzioni e recensioni sui prodotti Apple come iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini e Mac Studio.

Speciali
Shopping
  •  
  •