Expertos advierten sobre la backdoor de macOS oculta en versiones hackeadas de software popular – Masterhacks Blog

Expertos advierten sobre la backdoor de macOS oculta en versiones hackeadas de software popular

Se ha identificado la presencia de aplicaciones piratas dirigidas a usuarios de Apple macOS que incluyen un backdoor capaz de proporcionar a los atacantes control remoto sobre las máquinas infectadas.

«Estas aplicaciones se encuentran alojadas en sitios web chinos dedicados a la piratería, con el objetivo de atraer víctimas», indicaron los investigadores de Jamf Threat Labs, Ferdous Saljooki y Jaron Bradley.

«Una vez activado, el malware descarga y ejecuta múltiples elementos en segundo plano con el fin de comprometer de manera encubierta el sistema de la víctima».

Los archivos de imagen de disco (DMG) comprometidos, que han sido alterados para establecer comunicación con una infraestructura controlada por actores malintencionados, incluyen aplicaciones legítimas como Navicat Premium, UltraEdit, FinalShell, SecureCRT y Microsoft Remote Desktop.

Estas aplicaciones no firmadas, además de ser hospedadas en un sitio web chino llamado macyy[.]cn, incorporan un componente de carga denominado «dylib» que se ejecuta cada vez que se abre la aplicación.

Este componente actúa como un conducto para obtener un backdoor («bd.log») y un descargador («fl01.log») desde un servidor remoto, utilizado para establecer persistencia y obtener elementos adicionales en la máquina comprometida.

El backdoor, ubicado en la ruta «/tmp/.test», es una herramienta completa construida sobre la base de un conjunto de herramientas de post-explotación de código abierto llamado Khepri. La elección de la ruta «/tmp» implica que será eliminado al apagar el sistema.

A pesar de esto, se volverá a crear en la misma ubicación la próxima vez que se ejecute la aplicación pirateada y se active el componente de carga.

Por otro lado, el descargador se escribe en la ruta oculta «/Users/Shared/.fseventsd», tras lo cual crea un LaunchAgent para asegurar persistencia y envía una solicitud HTTP GET a un servidor controlado por los atacantes.

Aunque el servidor ya no está accesible, el descargador está diseñado para escribir la respuesta HTTP en un nuevo archivo ubicado en /tmp/.fseventsds y luego ejecutarlo.

Jamf señaló que este malware comparte varias similitudes con ZuRu, previamente observado propagándose a través de aplicaciones pirateadas en sitios chinos.

«Es plausible que este malware sea una evolución del malware ZuRu, dada su orientación específica hacia ciertas aplicaciones, modificaciones en los comandos de carga y la infraestructura de los atacantes», concluyeron los investigadores.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *