هشدار کارشناسان درباره درب پشتی macOS - آپا
هشدار کارشناسان درباره درب پشتی macOS
- 21 Jan 2024
- News Code: 1512850
- 1530
برنامههای غیرقانونی که کاربران macOS اپل را هدف قرار میدهند حاوی یک درب پشتی هستند که میتوانند این امکان را به مهاجمان بدهند تا به دستگاه های آسیب دیده، کنترل از راه دور داشته باشند.
طبق گفته Ferdous Saljookiو Jaron Bradley ، «این برنامهها در وبسایتهای غیرقانونی چینی میزبانی میشوند تا قربانی بگیرند».
این بدافزار چندین پیلود را در پسزمینه، دانلود و اجرا میکند تا مخفیانه دستگاه قربانی را در معرض خطر قرار دهد.
فایلهای تصویر دیسک درب پشتی (DMG) که برای برقراری ارتباط با زیرساختهای کنترلشده اصلاح شدهاند، شامل نرمافزارهای قانونی مانند Navicat Premium، UltraEdit، FinalShell، SecureCRT و Microsoft Remote Desktop می باشند.
برنامه های بدون امضا، علاوه بر میزبانی در یک وب سایت چینی به نام macyy[.]cn، یک جزء قطره چکان به نام "dylib" را در خود جای داده اند که هر بار که برنامه باز می شود اجرا می شوند.
درب پشتی - نوشته شده در مسیر "/tmp/.test" - دارای ویژگی های کامل است و پس از بهره برداری منبع باز بر روی یک جعبه ابزار به نام Khepri ساخته شده است. این واقعیت که در دایرکتوری "/tmp" قرار دارد به این معنی است که با خاموش شدن سیستم حذف می شود. با این حال، دفعه بعد که برنامه غیرقانونی بارگیری شد و قطره چکان اجرا شد، دوباره در همان مکان ایجاد می شود.
از سوی دیگر، دانلود کننده در مسیر پنهان "/Users/Shared/.fseventsd" یک LaunchAgent را برای اطمینان از پایداری ایجاد می کند و یک درخواست HTTP GET را به یک سرور تحت کنترل ارسال می کند.
در حالی که این سرور در دسترس نیست، دانلودکننده طوری طراحی شده است که پاسخ HTTP را به فایل جدیدی که در tmp/.fseventsds/ قرار دارد بنویسد و سپس آن را راه اندازی کند.
Jamf گفت که این بدافزار شباهتهای زیادی با ZuRu دارد که در گذشته از طریق برنامههای غیرقانونی در سایتهای چینی منتشر شده بود.
محققان گفتند: «ممکن است این بدافزار جانشین بدافزار ZuRu با برنامه های هدفمند، دستورات اصلاح شده و زیرساخت مهاجم باشد.
منبع:
https://thehackernews.com/2024/01/experts-warn-of-macos-backdoor-hidden.html