🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Phát hiện backdoor macOS ẩn trong phiên bản lậu của các phần mềm phổ biến

22/01/2024

Các ứng dụng vi phạm bản quyền nhắm vào người dùng macOS được phát hiện có chứa một backdoor có khả năng cung cấp cho kẻ tấn công quyền điều khiển từ xa trên các máy bị nhiễm.

Nhà nghiên cứu Ferdous Saljooki và Jaron Bradley của Jamf Threat Labs cho biết: “Các ứng dụng này đang được lưu trên các trang web vi phạm bản quyền của Trung Quốc”.

“Sau khi được kích hoạt, phần mềm độc hại sẽ tải xuống và thực thi nhiều payload (tệp, phần mềm độc hại) ở chế độ nền để lén lút xâm phạm máy của nạn nhân.”

Các phần mềm bị backdoor hóa, đã được sửa đổi để thiết lập kết nối với cơ sở hạ tầng do kẻ tấn công kiểm soát, bao gồm các phần mềm hợp pháp như Navicat Premium, UltraEdit, FinalShell, SecureCRT và Microsoft Remote Desktop.

Các ứng dụng chưa được ký, ngoài việc được lưu trữ trên một trang web Trung Quốc có tên macyy[.]cn, còn kết hợp một dropper tên là "dylib", được thực thi mỗi khi ứng dụng được mở.

Dropper được thiết kế để tải (load) backdoor ("bd.log") cũng như công cụ tải xuống (downloader "fl01.log") từ máy chủ từ xa, được sử dụng để duy trì quyền truy cập lâu dài trên máy nạn nhân và tải các payload bổ sung trên máy bị xâm nhập.

Backdoor - được ghi vào đường dẫn “/tmp/.test” - có đầy đủ tính năng và được xây dựng dựa trên bộ công cụ mã nguồn mở có tên Khepri.

Các tệp nằm trong thư mục "/tmp" sẽ bị xóa khi hệ thống bị tắt. Điều đó có nghĩa là backdoor sẽ được tạo lại ở cùng một vị trí vào lần tiếp theo khi ứng dụng vi phạm bản quyền được khởi chạy và dropper được thực thi.

Mặt khác, downloader được ghi vào đường dẫn ẩn "/Users/Shared/.fseventsd", sau đó nó tạo ra một LaunchAgent để đảm bảo sự tồn tại lâu dài và gửi yêu cầu HTTP GET đến máy chủ do tác nhân đe dọa kiểm soát, hiện không còn truy cập được nữa.

Jamf cho biết phần mềm độc hại này có một số điểm tương đồng với ZuRu, một loại phần mềm đã được phát hiện trước đây, được lây lan qua các ứng dụng vi phạm bản quyền trên các trang web của Trung Quốc.

Để giảm thiểu nguy cơ trở thành nạn nhận của các chiến dịch lây nhiễm mã độc như vậy, người dùng không nên tải xuống và cài đặt các phần mềm có nguồn gốc không tin cậy, phần mềm vi phạm bản quyền, ngoài ra người dùng cũng nên thường xuyên kiểm tra, quét các thiết bị bằng các công cụ quét virus, phần mềm độc hại để phát hiện và loại bỏ các mối nguy hại cho thiết bị của mình.

Nguồn: thehackernews.com

scrolltop