Säkerhetsteamet vid Jamf Threat Labs har identifierat ett nytt skadeprogram (malware) som sprids vid nedladdning av piratkopierad programvara för macOS.
Det nyupptäckta skadeprogrammet har stora likheter med ZuRu som upptäcktes 2021.
Vid installationen av den infekterade programvaran skapas ett bibliotek på den drabbade datorn dit skadlig kod laddas ner. När programmet startas aktiveras ett post-exploitation-program som öppnar en bakdörr till datorn. Varje gång programmet används öppnas bakdörren och angriparen får möjlighet att ladda upp eller ner filer, läsa systeminformation och ta kontroll över datorn.
Skadeprogrammet försöker undgå upptäckt genom att dölja sig bakom ett filnamn, .fseventsd, som börjar med en punkt, och liknar namnet på en process som är del av operativsystemet. Då Jamf upptäckte skadeprogrammet fanns det inte med bland de kända hot och sårbarheter som presenteras på sajten VirusTotal.
Skadeprogrammet har distribuerats via piratkopierad programvara som ofta laddas ner illegalt. Bland dem finns FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT och UltraEdit.Eftersom apparna inte är signerade av Apple visas en varning vid installation.
Jamf Threat Labs bedömer dock att de som drabbas förväntar sig varningar eftersom de laddar ner piratkopierad programvara och därför ignorerar varningarna som dyker upp i samband med installationen.
Det enklaste sättet att undvika att drabbas av skadeprogrammet är att endast använda legitima appar från säkra källor som App Store eller direkt från utvecklaren. Säkerhetsteamet på Jamf Threat Labs understryker att macOS är en säker plattform, men att man ska vara noga med att installera nya säkerhetsuppdateringar som Apple tillgängliggör regelbundet.
Baserat på var de aktuella nedladdningsservrarna är placerade och vilka webbadresser som används, verkar angreppen främst rikta sig mot en kinesisk målgrupp.
