Malware disfarçado em softwares populares de macOS ameaça usuários
Pesquisadores emitiram um alerta crítico sobre aplicativos piratas que estão distribuindo um backdoor para usuários de macOS. Eles observaram que esses aplicativos apresentam semelhanças notáveis com o malware ZuRu, conhecido por sua capacidade de permitir que atacantes baixem e executem múltiplos payloads para comprometer as máquinas dos usuários. A ameaça foi descoberta pela primeira vez quando os pesquisadores detectaram um executável chamado ‘.fseventsd’ em aplicativos hospedados em sites chineses de pirataria. Este executável, oculto dentro de um arquivo DMG, usava o nome de um processo real do sistema operacional macOS.
Essa estratégia inteligente evitava que os sistemas da Apple identificassem o arquivo como suspeito, permitindo que ele operasse sem ser detectado. Durante uma investigação mais aprofundada, os pesquisadores descobriram dois arquivos DMG trojanizados contendo vários aplicativos piratas. Esses aplicativos estavam infectados com o mesmo malware backdoor.
O aspecto mais alarmante era que esses aplicativos se assemelhavam a softwares legítimos e amplamente utilizados, como Navicat Premium, UltraEdit, FinalShell, SecureCRT e Microsoft Remote Desktop. Cada aplicativo pirata encontrado continha três componentes maliciosos. O primeiro era um dylib malicioso, que atuava como um dropper sempre que o aplicativo era aberto. O segundo componente era um backdoor, um executável binário baixado pelo dylib malicioso. Este backdoor utilizava a ferramenta de C2 e pós-exploração de código aberto Khepri. O terceiro componente era um downloader persistente, outro binário baixado pelo dylib malicioso, responsável por configurar a persistência no sistema e baixar payloads adicionais.
Fonte: BoletimSec
Publicado em: Cybersegurança