Backdoor in macOS: Esperti Avvertono su Versioni Piratate di Software Top
Risveglio di una Minaccia: Backdoor in macOS Sfruttata in Versioni Piratate di Software Popolari
Il mondo digitale è nuovamente scosso da un’allerta di sicurezza, questa volta riguardante gli utenti di Apple macOS. Esperti di sicurezza di Jamf Threat Labs hanno identificato un pericoloso malware presente in versioni piratate di software noti, rivelando una backdoor che potrebbe concedere ai malintenzionati il controllo remoto dei dispositivi infetti.
L’Inganno della Pirateria Cinese
Secondo Ferdous Saljooki e Jaron Bradley, ricercatori di Jamf Threat Labs, le applicazioni piratate con la backdoor in questione sono distribuite attraverso siti cinesi specializzati in pirateria. Questa strategia mira a colpire le vittime in cerca di versioni gratuite di software popolari come Navicat Premium, UltraEdit, FinalShell, SecureCRT e Microsoft Remote Desktop.
Il Modus Operandi del Malware
Una volta attivato, il malware avvia una serie di operazioni in background, scaricando e eseguendo carichi multipli. L’obiettivo principale è compromettere segretamente la macchina della vittima, creando un serio rischio per la sicurezza dei dati e la privacy dell’utente.
Dropper e Backdoor: La Connessione Occulta
Le applicazioni piratate, non firmate e ospitate sul sito cinese macyy[.]cn, contengono un componente dropper denominato “dylib”. Questo dropper funge da canale per il recupero di una backdoor identificata come “bd.log” e di un downloader chiamato “fl01.log” da un server remoto. Questi elementi sono cruciali per stabilire la persistenza del malware e scaricare ulteriori carichi sulla macchina compromessa.
Struttura e Persistenza del Malware
La backdoor, collocata nel percorso “/tmp/.test”, è sviluppata utilizzando il toolkit open-source di post-exploitation chiamato Khepri. La scelta della directory “/tmp” implica che la backdoor verrà eliminata allo spegnimento del sistema. Tuttavia, il malware è progettato per ricrearsi nella stessa posizione alla successiva apertura dell’applicazione piratata.
Contemporaneamente, il downloader viene scritto nel percorso nascosto “/Users/Shared/.fseventsd” e crea un LaunchAgent per garantire la persistenza del malware. Nonostante il server controllato dagli attori non sia più accessibile, il downloader è progettato per scrivere la risposta HTTP in un nuovo file, /tmp/.fseventsds, e avviarlo.
Paralleli con ZuRu e le Possibili Implicazioni
I ricercatori di Jamf sottolineano che il malware presenta notevoli somiglianze con ZuRu, precedentemente osservato in pirateria cinese. Questa affinità potrebbe indicare che il nuovo malware è un successore di ZuRu, con ulteriori miglioramenti e modifiche nella sua struttura, comandi di caricamento e infrastruttura degli attaccanti.
In conclusione, gli utenti macOS sono messi in guardia contro l’utilizzo di versioni piratate di software, poiché la minaccia di backdoor nascoste potrebbe compromettere la sicurezza dei loro dispositivi. L’adozione di pratiche di sicurezza informatica rigorose e l’acquisto di software solo da fonti affidabili rimangono essenziali per proteggere l’integrità dei sistemi.