Awas Bahaya Backdoor MacOS Tersembunyi dalam Versi Bajakan Perangkat Lunak Populer

Awas Bahaya Backdoor MacOS Tersembunyi dalam Versi Bajakan Perangkat Lunak Populer

Posted by : Admin , Jan 22, 2024

Aplikasi bajakan yang menargetkan pengguna Apple macOS ditemukan memiliki pintu belakang yang memungkinkan penyerang mengontrol komputer yang terinfeksi dari jarak jauh. “Aplikasi ini dihosting di situs bajakan di Tiongkok untuk memangsa korbannya,” Ferdous Saljouki dan Jaron Bradley, peneliti di Jamf Threat Labs, mengatakan kepada Hacker News.
"Setelah diledakkan, malware secara diam-diam mengunduh dan mengeksekusi beberapa muatan, secara diam-diam membahayakan komputer korban. " Dimodifikasi untuk memungkinkan komunikasi dengan infrastruktur yang dikendalikan aktor Backdoor disk image (DMG) berisi perangkat lunak yang sah seperti Navicat Premium, UltraEdit, dll.
Selain dihosting di situs berbahasa Mandarin bernama macyy, aplikasi unsigned ini juga berisi komponen dropper bernama "dylib" yang dijalankan setiap kali aplikasi dibuka. Dropper kemudian bertindak sebagai saluran untuk mengambil pintu belakang ('bd.log') dan pengunduh ('fl01.log') dari server jauh. Ini digunakan untuk mengatur persistensi dan mengambil muatan tambahan di server. Server jarak jauh, mesin yang disusupi digunakan. Pintu belakang di jalur /tmp/.test berfungsi penuh dan didasarkan pada toolkit pasca-eksploitasi sumber terbuka yang disebut Khepri. Itu terletak di direktori /tmp, sehingga dihapus ketika sistem dimatikan. Namun, saat berikutnya Anda memuat aplikasi bajakan dan menjalankan dropper, aplikasi tersebut akan dibuat lagi di lokasi yang sama.
Sementara itu, pengunduh menulis ke jalur tersembunyi "/Users/Shared/.fseventsd", membuat LaunchAgent untuk persistensi, dan mengirimkan permintaan HTTP GET ke server yang dikendalikan penyerang. Jika server tidak dapat dijangkau, pengunduh dirancang untuk memulai dengan menulis respons HTTP ke file baru di /tmp/.fseventsds.
 Menurut Jamf, malware ini memiliki beberapa kemiripan dengan ZuRu, yang sebelumnya terlihat menyebar melalui aplikasi bajakan di situs web Tiongkok. "Mengingat aplikasi yang diserang, perintah pemuatan yang dimodifikasi, dan infrastruktur penyerang, malware ini mungkin merupakan penerus malware ZuRu," kata para peneliti.

Sumber : https://cyberthreat.id/read/16402/Awas-Bahaya-Backdoor-MacOS-Tersembunyi-dalam-Versi-Bajakan-Perangkat-Lunak-Populer