Các ứng dụng lậu nhắm vào người dùng macOS của Apple đã được quan sát thấy có chứa một cửa hậu có khả năng cấp cho kẻ tấn công quyền điều khiển từ xa cho các máy bị nhiễm.
"Các ứng dụng này đang được lưu trữ trên các trang web vi phạm bản quyền của Trung Quốc để thu hút nạn nhân", các nhà nghiên cứu Ferdous Saljooki và Jaron Bradley của Jamf Threat Labs cho biết.
"Sau khi kích nổ, phần mềm độc hại sẽ tải xuống và thực thi nhiều tải trọng trong nền để bí mật xâm nhập vào máy của nạn nhân."
Các tệp hình ảnh đĩa cửa hậu (DMG), đã được sửa đổi để thiết lập liên lạc với cơ sở hạ tầng do tác nhân kiểm soát, bao gồm phần mềm hợp pháp như Navicat Premium, UltraEdit, FinalShell, SecureCRT và Microsoft Remote Desktop.
Các ứng dụng chưa được ký, ngoài việc được lưu trữ trên một trang web của Trung Quốc có tên macyy [.] CN, kết hợp một thành phần nhỏ giọt được gọi là "dylib" được thực thi mỗi khi ứng dụng được mở.
Dropper sau đó hoạt động như một ống dẫn để tìm nạp backdoor ("bd.log") cũng như trình tải xuống ("fl01.log") từ một máy chủ từ xa, được sử dụng để thiết lập sự bền bỉ và tìm nạp thêm tải trọng trên máy bị xâm nhập.
Backdoor – được viết vào đường dẫn "/tmp/.test" – có đầy đủ tính năng và được xây dựng trên một bộ công cụ hậu khai thác mã nguồn mở có tên Khepri. Thực tế là nó nằm trong thư mục "/ tmp" có nghĩa là nó sẽ bị xóa khi hệ thống tắt.
Điều đó nói rằng, nó sẽ được tạo lại tại cùng một vị trí vào lần tiếp theo ứng dụng lậu được tải và trình nhỏ giọt được thực thi.
Mặt khác, trình tải xuống được ghi vào đường dẫn ẩn "/Users/Shared/.fseventsd", sau đó nó tạo ra một LaunchAgent để đảm bảo tính bền bỉ và gửi yêu cầu HTTP GET đến máy chủ do tác nhân điều khiển.
Trong khi máy chủ không còn có thể truy cập được nữa, trình tải xuống được thiết kế để ghi phản hồi HTTP cho một tệp mới nằm ở /tmp/.fseventsds và sau đó khởi chạy nó.
Jamf cho biết phần mềm độc hại có một số điểm tương đồng với ZuRu, đã được quan sát thấy trong quá khứ lây lan thông qua các ứng dụng vi phạm bản quyền trên các trang web của Trung Quốc.
"Có thể phần mềm độc hại này là sự kế thừa của phần mềm độc hại ZuRu với các ứng dụng được nhắm mục tiêu, lệnh tải được sửa đổi và cơ sở hạ tầng của kẻ tấn công", các nhà nghiên cứu cho biết.