هشدار کارشناسان درباره پنهان‌شدن درب پشتی macOS در نسخه‌های دزدی‌شده از یک نرم‌افزار محبوب

برنامه‌های Pirate که کاربران macOS اپل را هدف قرار می‌دهند مشاهده شده‌اند که حاوی یک درب پشتی هستند که می‌تواند به مهاجمان یک کنترل از راه دور را به ماشین‌های آلوده اعطا کند.

فردوس سالجوکی و جارون بردلی، محققین Jamf Threat Labs می‌گویند[۱]: «این برنامه‌ها در وب‌سایت‌های Pirate چینی میزبانی می‌شوند تا قربانی بگیرند».

پس از پیاده‌سازی، این بدافزار چندین payload را در پس‌زمینه دانلود و اجرا می‌کند تا مخفیانه دستگاه قربانی را در معرض خطر قرار دهد.

فایل‌های DMG که برای برقراری ارتباط با زیرساخت‌های کنترل‌شده توسط بازیگر اصلاح شده‌اند، شامل نرم‌افزارهای قانونی مانند Navicat Premium، UltraEdit، FinalShell، SecureCRT و Microsoft Remote Desktop است.

برنامه‌های بدون امضا، علاوه بر میزبانی در یک وب‌سایت چینی به نام macyy [.]cn، یک جزء dropper به نام “dylib” را در خود جای‌داده‌اند که هر بار که برنامه باز می‌شود اجرا می‌شود.

سپس dropper به‌عنوان مجرایی برای دریافت یک درب پشتی (“bd.log”) و همچنین یک دانلود کننده (“fl01.log”) از یک سرور راه دور عمل می‌کند که برای راه‌اندازی پایداری و fetch بارهای اضافی در دستگاه در معرض خطر استفاده می‌شود.

درب پشتی – نوشته شده در مسیر “/tmp/.test” – دارای ویژگی‌های کامل است و روی یک جعبه‌ابزار پس از بهره‌برداری از یک منبع‌باز به نام Khepri[2] ساخته شده است. این واقعیت که در دایرکتوری “/tmp” قرار دارد به این معنی است که با خاموش‌شدن سیستم حذف می‌شود.

بااین‌حال، دفعه بعد که برنامه غیرقانونی بارگیری شد و dropper اجرا شد، دوباره در همان مکان ایجاد می‌شود.

از طرف دیگر، دانلود کننده در مسیر پنهان “/Users/Shared/.fseventsd” نوشته می‌شود که به دنبال آن یک LaunchAgent برای اطمینان از پایداری ایجاد می‌کند و یک درخواست HTTP GET را به سرور کنترل شده توسط بازیگر ارسال می‌کند.

درحالی‌که سرور دیگر در دسترس نیست، دانلودکننده طوری طراحی شده است که پاسخ HTTP را به فایل جدیدی که در /tmp/.fseventsds قرار دارد بنویسد و سپس آن را راه‌اندازی کند.

Jamf گفت این بدافزار شباهت‌های زیادی با [۳]ZuRu دارد که در گذشته مشاهده شده[۴] از طریق برنامه‌های غیرقانونی در سایت‌های چینی منتشر شده است.