Pirackie kopie działają jak konie trojańskie dla dobrze ukrytego złośliwego oprogramowania dla komputerów Mac

Niedawne dochodzenie przeprowadzone przez Jamf Threat Labs pokazuje, że za pośrednictwem chińskich platform dystrybuowana jest duża ilość złośliwego oprogramowania w postaci pirackich programów dla komputerów Mac. Oferowane są między innymi bezpłatne wersje Microsoft Remote Desktop, SecureCRT, FinalShell, UltraEdit i Navicat Premium, które są zintegrowane najpóźniej podczas uruchamiania malware początek. Tworzy to m.in.: jeden backdoor do ładowania dodatkowych elementów. Ponadto ewentualny dostęp osób trzecich może prowadzić do utraty wrażliwych danych. Osoby, których to dotyczyło, często po prostu ignorowały instrukcje dotyczące bezpieczeństwa macOS, ponieważ świadomie korzystały z pirackich kopii.

Nowo odkryte złośliwe oprogramowanie przedostaje się na komputer Apple Mac za pośrednictwem pirackich aplikacji. Aktywnie wyrażając zgodę na wykonanie i przyznając określone prawa, szkodliwe i dobrze zamaskowane treści mogą swobodnie działać.
Nowo odkryte złośliwe oprogramowanie przedostaje się na komputer Apple Mac za pośrednictwem pirackich aplikacji. Aktywnie wyrażając zgodę na wykonanie i przyznając określone prawa, szkodliwe i dobrze zamaskowane treści mogą swobodnie działać.

Indywidualna zawartość nowego szkodliwego oprogramowania dla komputerów Mac

Oprócz pobrania aplikacji, które jest pożądaną czynnością i może skutkować faktycznie działającym programem, pobieranie zainfekowanych pirackich kopii ma niezamierzone konsekwencje. Jeśli program, który jest oficjalnie płatny, ale jest bezpłatny dzięki pirackiej kopii, zostanie uruchomiony, wówczas uruchomiona zostanie nie tylko zawartość niezbędna do jego funkcjonowania. Przynajmniej te trzy elementy są przenoszone na komputer Mac w tle:

  • katalog dylib: zawiera złośliwe oprogramowanie i otwiera się przy każdym uruchomieniu zainfekowanego programu. Zintegrowany i w razie potrzeby dodatkowo załadowany szkodliwy program jest uruchamiany z katalogu.
  • backdoor: Szkodnik dylib ponownie ładuje backdoora opartego na oprogramowaniu open source Khepri. Ułatwia to instalację dodatkowego złośliwego oprogramowania lub kradzież danych.
  • Niezależny downloader: Chociaż dwa wyżej wymienione elementy są używane tylko wtedy, gdy zainfekowana aplikacja jest uruchomiona, po zainstalowaniu ten moduł pobierania może również działać bez pirackiej kopii dzięki zawartości dylib. Oznacza to, że może pobrać więcej złośliwego oprogramowania nawet po ponownym uruchomieniu komputera Mac.

Złośliwe oprogramowanie powoduje szkody w dobrze zamaskowany sposób

Wykrycie nowego szkodliwego oprogramowania, które podobno opiera się (przynajmniej częściowo) na szkodliwym oprogramowaniu ZuRu z 2021 r., najwyraźniej nie jest łatwe. Ponieważ wymagane katalogi, pliki wykonywalne i inna zawartość są dobrze ukryte. Nadawane są im między innymi nazwy, które można przypisać także zawartości macOS.

Pierwsze uruchomione szkodliwe oprogramowanie, które tworzy katalog dylib i stamtąd wykonuje dalsze kroki, nosi nazwę „.fseventsd”. Jest to ta sama nazwa, co nazwa własna systemu macOS demon ma. Nazwa wyróżnia się Fs System Eventy Daemon razem; proces monitoruje pliki, foldery i aplikacje w celu dokumentowania i stosowania zmian.

Jednak zawartość „.fseventsd” z pirackich aplikacji nie ma nic wspólnego z tym zamierzonym procesem kontrolowanym przez system macOS. Po uruchomieniu pojawiają się dwa niepozorne pliki do pobrania o nazwach /tmp/.test i /Users/Shared/.fsevensd stworzył.

Ponieważ dostęp do uruchomienia zainfekowanej aplikacji i pliku Portier zostało ominięte, nowe pliki do pobrania mogą teraz stosunkowo niezakłócone uwalniać energię. Aby pozostać niewykrytym, używany jest również katalog o nazwie ~/Library/LaunchAgents/com.apple.fsevents.plist. Znajdujący się w nim „com.apple” ma sprawić, że pomyślisz, że jest to oficjalny katalog macOS.

Rosnące wykorzystanie piractwa i konie trojańskie

Jak wcześniej Ujawniono na początku listopada 2023 r, po raz pierwszy od 2020 r. wskaźniki wykorzystania pirackich kopii ponownie rosną. I nawet jeśli dotyczy to głównie mediów takich jak filmy, seriale i muzyka, przyzwyczajaniu się do bezpłatnych treści w Internecie często towarzyszy poszukiwanie darmowych wersji programowych aplikacji, za które faktycznie trzeba płacić.

Teraz na to natrafiłeś konie trojańskieJeśli oprócz programu masz także złośliwe oprogramowanie, wszystko może się zdarzyć. Od niezauważonej utraty danych, przez dostęp do haseł, po zablokowanie całego dysku twardego – wszystko jest uwzględnione. Dlatego aplikacje należy pobierać wyłącznie ze sklepu App Store lub bezpośrednio ze stron internetowych deweloperów obciążenie – nawet jeśli będzie to coś kosztować.

Obszerne badania przeprowadzone przez Jamf Thread Labs

Ten artykuł zawiera jedynie podsumowanie nowo odkrytego zagrożenia złośliwym oprogramowaniem ze strony pirackich aplikacji na komputerze Apple Mac. Jeśli chcesz zapoznać się z całym raportem, łącznie z profesjonalną oceną procesu szkodliwego oprogramowania, zajrzyj tutaj: https://www.jamf.com/blog/jtl-malware-pirated-applications/ 

Podobał Ci się artykuł i czy instrukcje na blogu Ci pomogły? Wtedy byłbym szczęśliwy, gdybyś bloga poprzez stałe członkostwo będzie wspierać.

2 komentarze na temat „Pirackich kopii jako koni trojańskich dobrze ukrytego złośliwego oprogramowania dla komputerów Mac”

  1. Dziękujemy za podzielenie się tą ważną informacją. Niestety komputer Mac nie jest odporny na ataki i wielu użytkowników uważa, że ​​jest bezpieczny.

    1. Jen Kleinholz

      Tak, też tak się czuję... Nie mam programu antywirusowego, bo uważam, że jeśli nie wpiszę hasła administratora w złym miejscu, to nic wielkiego się nie stanie. Jednak w Webkicie lub innych częściach systemu macOS zawsze występują luki w zabezpieczeniach, przez co przestępcy przedostają się bez hasła administratora. Dlatego ostrożność jest zawsze dobrą rzeczą.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone * oznakowane

Na blogu Sir Apfelot znajdziesz porady, instrukcje i recenzje produktów Apple, takich jak iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini i Mac Studio.

Promocje