لوحظ أن التطبيقات المقرصنة التي تستهدف مستخدمي Apple macOS تحتوي على باب خلفي قادر على منح المهاجمين التحكم عن بعد في الأجهزة المصابة.

وقال فردوس سالجوكي وجارون برادلي، الباحثان في Jamf Threat Labs: "يتم استضافة هذه التطبيقات على مواقع القرصنة الصينية من أجل استقطاب الضحايا" .

"بمجرد تفجيرها، ستقوم البرمجيات الخبيثة بتنزيل وتنفيذ حمولات متعددة في الخلفية من أجل اختراق جهاز الضحية سرًا."

تتضمن ملفات صورة القرص الخلفية (DMG)، والتي تم تعديلها لإنشاء اتصالات مع البنية التحتية التي يتحكم فيها الممثل، برامج شرعية مثل Navicat Premium وUltraEdit وFinalShell وSecureCRT وMicrosoft Remote Desktop.

تتضمن التطبيقات غير الموقعة، إلى جانب استضافتها على موقع ويب صيني يسمى macyy[.]cn، مكون قطارة يسمى "dylib" يتم تنفيذه في كل مرة يتم فيها فتح التطبيق.

تعمل القطارة بعد ذلك كقناة لجلب الباب الخلفي ("bd.log") بالإضافة إلى أداة التنزيل ("fl01.log") من خادم بعيد، والذي يُستخدم لإعداد الثبات وجلب حمولات إضافية على الجهاز المخترق .

الباب الخلفي - المكتوب على المسار "/tmp/.test" - كامل الميزات ومبني فوق مجموعة أدوات مفتوحة المصدر لمرحلة ما بعد الاستغلال تسمى Khepri . وحقيقة وجوده في الدليل "/tmp" تعني أنه سيتم حذفه عند إيقاف تشغيل النظام.

ومع ذلك، سيتم إنشاؤه مرة أخرى في نفس الموقع في المرة التالية التي يتم فيها تحميل التطبيق المقرصن وتنفيذ القطارة.

من ناحية أخرى، تتم كتابة برنامج التنزيل على المسار المخفي "/Users/Shared/.fseventsd"، وبعد ذلك يقوم بإنشاء LaunchAgent لضمان الاستمرارية ويرسل طلب HTTP GET إلى خادم يتحكم فيه الممثل.

على الرغم من أنه لم يعد من الممكن الوصول إلى الخادم، فقد تم تصميم برنامج التنزيل لكتابة استجابة HTTP لملف جديد موجود في /tmp/.fseventsds ثم تشغيله.

وقال جامف إن البرنامج الضار يشترك في العديد من أوجه التشابه مع برنامج ZuRu ، والذي لوحظ في الماضي انتشاره عبر التطبيقات المقرصنة على المواقع الصينية.

وقال الباحثون: "من المحتمل أن تكون هذه البرامج الضارة بمثابة خليفة لبرنامج ZuRu الضار نظرًا لتطبيقاتها المستهدفة وأوامر التحميل المعدلة والبنية التحتية للمهاجم".

المصدر: The Hacker News