Se han descubierto aplicaciones piratas que contienen un backdoor capaz de dar a los atacantes el control remoto de las máquinas infectadas dirigidas a usuarios de Apple macOS. Investigadores de Jamf Threat Labs, Ferdous Saljooki y Jaron Bradley, señalan que estas aplicaciones se alojan en sitios web chinos destinados a atraer a víctimas.
Las aplicaciones no firmadas incorporan un componente de propagación llamado «dylib» que se ejecuta cada vez que se abre la aplicación. Se han modificado archivos de imagen de disco que contienen el backdoor (DMG), incluyendo software legítimo como Navicat Premium, UltraEdit, FinalShell, SecureCRT y Microsoft Remote Desktop. Los archivos se encuentran alojados en un sitio web chino llamado macyy[.]cn.
El propagador actúa como conducto para obtener un backdoor («bd.log») y un downloader («fl01.log») de un servidor remoto, lo que se utiliza para establecer la persistencia y obtener cargas útiles adicionales en la máquina comprometida. El backdoor, escrito en la ruta «/tmp/.test», cuenta con todas las características y está construido sobre una herramienta de post-explotación de código abierto llamada Khepri.
El downloader se escribe en la ruta oculta «/Users/Shared/.fseventsd», tras lo cual crea un LaunchAgent para garantizar la persistencia y envía una solicitud de HTTP GET a un servidor controlado por actores. Si bien el servidor ya no es accesible, el downloader está diseñado para escribir la respuesta HTTP en un nuevo archivo ubicado en la ruta /tmp/.fseventds y luego lanzarlo.
Jamf indicó que el malware comparte varias similitudes con ZuRu, que se ha observado en el pasado propagándose a través de aplicaciones piratas en sitios chinos. Los investigadores creen que este malware podría ser un sucesor del malware ZuRu, dada su orientación a ciertas aplicaciones, los comandos de carga modificados y la infraestructura de los atacantes.
En resumen, se han detectado aplicaciones piratas que contienen backdoors y se alojan en sitios web piratas chinos, lo que puede comprometer secretamente las máquinas de los usuarios de Apple macOS. Se han modificado archivos de imágenes de disco que contienen backdoors (DMG), y el malware comparte similitudes con ZuRu, propagándose a través de aplicaciones piratas en sitios chinos. Los investigadores de Jamf recomiendan a los usuarios que eviten descargar software de fuentes no confiables.
