Awas Bahaya Backdoor MacOS Tersembunyi dalam Versi Bajakan Perangkat Lunak Populer

The Hacker News

Cyberthreat.id - Aplikasi bajakan yang menargetkan pengguna Apple macOS diamati mengandung backdoor yang mampu memberikan kepada penyerang kendali jarak jauh ke mesin yang terinfeksi.

“Aplikasi ini dihosting di situs pembajakan China untuk mendapatkan korban,” kata peneliti Jamf Threat Labs, Ferdous Saljooki dan Jaron Bradley kepada The Hacker News.

“Setelah diledakkan, malware akan mengunduh dan mengeksekusi beberapa muatan di latar belakang untuk secara diam-diam menyusupi mesin korban.”

The Backdoored disk image (DMG), yang telah dimodifikasi untuk menjalin komunikasi dengan infrastruktur yang dikendalikan aktor, mencakup perangkat lunak sah seperti Navicat Premium, UltraEdit, FinalShell, SecureCRT, dan Microsoft Remote Desktop.

Aplikasi yang unsigned, selain dihosting di situs web Cina bernama macyy[.]cn, juga menyertakan komponen dropper yang disebut "dylib" yang dijalankan setiap kali aplikasi dibuka.

 

Dropper kemudian bertindak sebagai saluran untuk mengambil backdoor ("bd.log") serta pengunduh ("fl01.log") dari server jarak jauh, yang digunakan untuk menyiapkan persistensi dan mengambil muatan tambahan pada mesin yang disusupi.

Backdoor – ditulis ke jalur "/tmp/.test" – berfitur lengkap dan dibangun di atas perangkat pasca-eksploitasi sumber terbuka yang disebut Khepri. Fakta bahwa itu terletak di direktori "/tmp" berarti itu akan dihapus ketika sistem dimatikan.

Meskipun demikian, itu akan dibuat lagi di lokasi yang sama saat aplikasi bajakan dimuat lagi dan dropper dijalankan.

Di sisi lain, pengunduh ditulis ke jalur tersembunyi "/Users/Shared/.fseventsd," yang kemudian membuat LaunchAgent untuk memastikan persistensi dan mengirimkan permintaan HTTP GET ke server yang dikendalikan aktor.

Meskipun server tidak lagi dapat diakses, pengunduh dirancang untuk menulis respons HTTP ke file baru yang terletak di /tmp/.fseventsds dan kemudian meluncurkannya.

Jamf mengatakan malware tersebut memiliki beberapa kesamaan dengan ZuRu, yang sebelumnya telah diamati menyebar melalui aplikasi bajakan di situs Tiongkok.

“Ada kemungkinan malware ini merupakan penerus malware ZuRu mengingat aplikasi yang ditargetkan, perintah pemuatan yang dimodifikasi, dan infrastruktur penyerang,” kata para peneliti.[]