- 9,321
- 18
- 8 Ноя 2022
Как именно вредоносное ПО заражает систему?
По данным исследователей из компании Для просмотра ссылки Войдиили Зарегистрируйся , пиратские приложения для операционной системы macOS , распространяемые на китайских веб-сайтах, содержат вредоносную программу, которая позволяет злоумышленникам получить удаленный доступ к зараженным компьютерам.
Среди таких программ — популярные приложения вроде Navicat Premium, UltraEdit, FinalShell, SecureCRT и утилита удаленного доступа Microsoft Remote Desktop.
Вредоносный код, интегрированный в файлы установщиков с расширением DMG, настроен на связь с серверами злоумышленников. Кроме того, эти приложения, не имеющие цифровой подписи от разработчика, внедряют компонент под названием «dylib», который активируется при каждом запуске. Он, в свою очередь, загружает бэкдор «bd.log» и загрузчик «fl01.log» с удаленного сервера. Это позволяет закрепиться в системе и установить дополнительные модули.
Бэкдор сохраняется в каталог «/tmp/.test» и предоставляет полный доступ к зараженной системе. Поскольку он находится во временном каталоге «/tmp», то удаляется при выключении компьютера, но создается заново при следующем запуске приложения.
Тем временем загрузчик размещается в скрытом каталоге «/Users/Shared/.fseventsd», создает задание для автозапуска при включении системы и отправляет HTTP-запрос на сервер злоумышленников. Хотя в настоящее время этот сервер недоступен, изначально загрузчик был нацелен на сохранение ответа в файл «/tmp/.fseventsds» и последующий запуск полученного вредоносного кода.
По мнению экспертов, это вредоносное ПО схоже с ранее обнаруженным Для просмотра ссылки Войдиили Зарегистрируйся , который также распространялся через пиратские приложения на китайских сайтах. Вероятно, это новая версия трояна ZuRu, учитывая выбор целевых приложений, методы внедрения и инфраструктуру хакеров.
По данным исследователей из компании Для просмотра ссылки Войди
Среди таких программ — популярные приложения вроде Navicat Premium, UltraEdit, FinalShell, SecureCRT и утилита удаленного доступа Microsoft Remote Desktop.
Вредоносный код, интегрированный в файлы установщиков с расширением DMG, настроен на связь с серверами злоумышленников. Кроме того, эти приложения, не имеющие цифровой подписи от разработчика, внедряют компонент под названием «dylib», который активируется при каждом запуске. Он, в свою очередь, загружает бэкдор «bd.log» и загрузчик «fl01.log» с удаленного сервера. Это позволяет закрепиться в системе и установить дополнительные модули.
Бэкдор сохраняется в каталог «/tmp/.test» и предоставляет полный доступ к зараженной системе. Поскольку он находится во временном каталоге «/tmp», то удаляется при выключении компьютера, но создается заново при следующем запуске приложения.
Тем временем загрузчик размещается в скрытом каталоге «/Users/Shared/.fseventsd», создает задание для автозапуска при включении системы и отправляет HTTP-запрос на сервер злоумышленников. Хотя в настоящее время этот сервер недоступен, изначально загрузчик был нацелен на сохранение ответа в файл «/tmp/.fseventsds» и последующий запуск полученного вредоносного кода.
По мнению экспертов, это вредоносное ПО схоже с ранее обнаруженным Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
