Piraten-Anwendungen, die sich an Apple macOS-Nutzer richten, wurden beobachtet und enthalten einen Backdoor, der Angreifern die Fernsteuerung infizierter Maschinen ermöglicht. Laut Forschern von Jamf Threat Labs, Ferdous Saljooki und Jaron Bradley, werden diese Anwendungen auf chinesischen Piratenseiten gehostet, um potenzielle Opfer anzulocken. Sobald die Malware aktiviert ist, werden im Hintergrund mehrere Nutzlasten heruntergeladen und ausgeführt, um die Maschine des Opfers heimlich zu kompromittieren.
Die modifizierten Disk Image (DMG) Dateien, die so manipuliert wurden, dass sie mit von den Angreifern kontrollierter Infrastruktur kommunizieren, enthalten legitime Software wie Navicat Premium, UltraEdit, FinalShell, SecureCRT und Microsoft Remote Desktop.
Die nicht signierten Anwendungen, die auf einer chinesischen Webseite namens macyy[.]cn gehostet werden, enthalten außerdem eine Komponente namens „dylib“, die jedes Mal ausgeführt wird, wenn die Anwendung geöffnet wird. Diese Komponente fungiert dann als Verbindung, um einen Backdoor („bd.log“) und einen Downloader („fl01.log“) von einem Remote-Server abzurufen, der zur Einrichtung von Persistenz und zum Abrufen weiterer Nutzlasten auf der kompromittierten Maschine verwendet wird.
Der Backdoor, der unter dem Pfad „/tmp/.test“ geschrieben wird, ist voll funktionsfähig und basiert auf einem Open-Source Post-Exploitation-Toolkit namens Khepri. Da er sich im Verzeichnis „/tmp“ befindet, wird er gelöscht, wenn das System heruntergefahren wird. Bei erneutem Laden der geraubten Anwendung und Ausführung des Droppers wird er jedoch an derselben Stelle wieder erstellt.
Der Downloader wird unter dem versteckten Pfad „/Users/Shared/.fseventsd“ geschrieben und erstellt dann einen LaunchAgent, um die Persistenz sicherzustellen, und sendet eine HTTP GET-Anfrage an einen von den Angreifern kontrollierten Server. Obwohl der Server nicht mehr erreichbar ist, ist der Downloader darauf ausgelegt, die HTTP-Antwort in eine neue Datei unter /tmp/.fseventsds zu schreiben und sie anschließend zu starten.
Jamf sagte, dass die Malware mehrere Ähnlichkeiten mit der in der Vergangenheit über raubkopierte Anwendungen auf chinesischen Websites verteilten ZuRu-Malware aufweist. „Es ist möglich, dass diese Malware ein Nachfolger der ZuRu-Malware ist, basierend auf ihren zielgerichteten Anwendungen, modifizierten Ladebefehlen und Angreiferinfrastruktur“, so die Forscher.