Các ứng dụng vi phạm bản quyền nhắm vào người dùng macOS được phát hiện có chứa một backdoor có khả năng cung cấp cho kẻ tấn công quyền điều khiển từ xa trên các máy bị nhiễm.
Nhà nghiên cứu Ferdous Saljooki và Jaron Bradley của Jamf Threat Labs cho biết: “Các ứng dụng này đang được lưu trên các trang web vi phạm bản quyền của Trung Quốc”.
“Sau khi được kích hoạt, phần mềm độc hại sẽ tải xuống và thực thi nhiều payload (tệp, phần mềm độc hại) ở chế độ nền để lén lút xâm phạm máy của nạn nhân.”
Các phần mềm bị backdoor hóa, đã được sửa đổi để thiết lập kết nối với cơ sở hạ tầng do kẻ tấn công kiểm soát, bao gồm các phần mềm hợp pháp như Navicat Premium, UltraEdit, FinalShell, SecureCRT và Microsoft Remote Desktop.
Các ứng dụng chưa được ký, ngoài việc được lưu trữ trên một trang web Trung Quốc có tên macyy[.]cn, còn kết hợp một dropper tên là "dylib", được thực thi mỗi khi ứng dụng được mở.
Dropper được thiết kế để tải (load) backdoor ("bd.log") cũng như công cụ tải xuống (downloader "fl01.log") từ máy chủ từ xa, được sử dụng để duy trì quyền truy cập lâu dài trên máy nạn nhân và tải các payload bổ sung trên máy bị xâm nhập.
Backdoor - được ghi vào đường dẫn “/tmp/.test” - có đầy đủ tính năng và được xây dựng dựa trên bộ công cụ mã nguồn mở có tên Khepri.
Các tệp nằm trong thư mục "/tmp" sẽ bị xóa khi hệ thống bị tắt. Điều đó có nghĩa là backdoor sẽ được tạo lại ở cùng một vị trí vào lần tiếp theo khi ứng dụng vi phạm bản quyền được khởi chạy và dropper được thực thi.
Mặt khác, downloader được ghi vào đường dẫn ẩn "/Users/Shared/.fseventsd", sau đó nó tạo ra một LaunchAgent để đảm bảo sự tồn tại lâu dài và gửi yêu cầu HTTP GET đến máy chủ do tác nhân đe dọa kiểm soát, hiện không còn truy cập được nữa.
Jamf cho biết phần mềm độc hại này có một số điểm tương đồng với ZuRu, một loại phần mềm đã được phát hiện trước đây, được lây lan qua các ứng dụng vi phạm bản quyền trên các trang web của Trung Quốc.
Để giảm thiểu nguy cơ trở thành nạn nhận của các chiến dịch lây nhiễm mã độc như vậy, người dùng không nên tải xuống và cài đặt các phần mềm có nguồn gốc không tin cậy, phần mềm vi phạm bản quyền, ngoài ra người dùng cũng nên thường xuyên kiểm tra, quét các thiết bị bằng các công cụ quét virus, phần mềm độc hại để phát hiện và loại bỏ các mối nguy hại cho thiết bị của mình.
Nguồn: thehackernews.com
Tín nhiệm mạng | Các tác nhân đe dọa đang sử dụng TeamViewer để giành quyền truy cập ban đầu vào các thiết bị và cố gắng mã hóa dữ liệu trên các thiết bị bị xâm phạm bằng phần mềm ransomware.
Tín nhiệm mạng | Data Center Atlassian và Máy chủ Confluence dễ bị tấn công bởi lỗ hổng thực thi mã từ xa nghiêm trọng, ảnh hưởng đến các phiên bản được phát hành trước ngày 5 tháng 12 năm 2023
Tín nhiệm mạng | Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, bao gồm một lỗ hổng zero-day đã bị khai thác trong thực tế.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện hơn 178.000 tường lửa next-generation của SonicWall có giao diện quản lý có thể truy cập trực tuyến có nguy cơ bị tấn công từ chối dịch vụ và tiềm ẩn khả năng bị RCE
Tín nhiệm mạng | Chiến dịch phát tán mã độc đánh cắp thông tin Phemedrone đã khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL
Tín nhiệm mạng | Có tới 5 dòng mã độc khác nhau đã được các tác nhân đe dọa triển khai như một phần của các hoạt động sau khai thác, lợi dụng hai lỗ hổng zero-day trong các thiết bị VPN Ivanti Connect Secure (ICS) kể từ đầu tháng 12 năm 2023
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
