Wer Raubkopien verwendet, muss damit rechnen, dass diese mit Malware infiziert sind. Jetzt sind auch MacOS Anwendungen betroffen. | If you use pirated copies, you can expect them to be infected with malware. Now MacOS is affected as well. |
|---|---|
| Piratenalarm: Das Threat Labs Team von Jamf hat eine neue Sicherheitslücke identifiziert, die es Unbefugten ermöglicht, Zugriff auf das Endgerät des Benutzers zu erlangen. Es handelt sich dabei um eine ausführbare Datei, die der Malware ZuRu ähnelt und in einer Reihe von raubkopierten macOS-Anwendungen versteckt ist. Diese raubkopierten Anwendungen werden auf in China gehosteten Piraterie-Webseiten zum Download angeboten. Wie funktioniert diese Hintertür? Jamf Threat Labs hat eine ausführbare Datei namens .fseventsd entdeckt. Diese ausführbare Datei ist bemerkenswert, da sie sowohl versteckt ist (sie beginnt mit einem Punkt) als auch den Namen eines im Betriebssystem integrierten Prozesses verwendet. Die .fseventsd-Binärdatei wurde ursprünglich als Teil einer größeren DMG-Datei hochgeladen. Drei raubkopierte Anwendungen wurden alle mit der gleichen Malware versehen. Viele dieser Anwendungen wurden auf macyy[.]cn gehostet. Die versteckte ausführbare Datei wird beim Start der raubkopierten Anwendung ausgeführt und stellt im Hintergrund eine Verbindung zum System des Angreifers her. Die Datei verwendet den Namen eines Betriebssystemprozesses und wird zumindest von der Viren- und Malware-Datenbank VirusTotal nicht als schädlicher Prozess erkannt. Analyse der Malware Jede raubkopierte Anwendung führte zur Ausführung einer schädlichen Aktivität. Im Wesentlichen handelt es sich dabei um folgende Aktivitäten: Bösartige Dylib: Eine bösartige Bibliothek, die von der Anwendung geladen wird und als Dropper fungiert, der jedes Mal ausgeführt wird, wenn die Anwendung geöffnet wird. Backdoor: Eine von der schädlichen Dylib heruntergeladene Binärdatei, die das Open-Source-Tool Khepri für C2 und Post-Exploitation verwendet. Persistent Downloader: Eine von der schädlichen Dylib heruntergeladene Binärdatei, die Persistenz einrichtet und zusätzliche Nutzdaten herunterlädt. Die Datei, mit der sich Angreifer Zugang zu einem System oder Endgerät verschaffen können, weist mehrere Eigenschaften auf, die denen der Malware ZuRu ähneln, die im Jahr 2021 von Objective-See und Trend Micro identifiziert wurde. ZuRu wurde auch in raubkopierten Anwendungen entdeckt, darunter iTerm, SecureCRT, Navicat Premium und der Microsoft Remote Desktop Client. Bei der Ausführung dieser Anwendungen stellte ZuRu im Hintergrund eine Verbindung zu einem Angreifer-Server her, auf den er sensible Daten aus dem angegriffenen System oder Endgerät hochlud. Wer ist betroffen? Das Team der Jamf Threat Labs hat insgesamt drei raubkopierte Anwendungen identifiziert, die diese versteckte ausführbare Datei enthalten. Alle drei wurden auf einer chinesischen Website gehostet, auf der Nutzer Links zu raubkopierter Software finden können. Wie bei der ZuRu-Malware, die im Jahr 2021 identifiziert wurde, scheinen auch bei dieser neuen Malware hauptsächlich chinesische Nutzer das Ziel der Angreifer zu sein, ebenso wie die Angreifer selbst: Die von der Malware zum Angreifer aufgebauten Verbindungen beziehen sich ebenfalls auf chinesische IP-Adressen. Grundsätzlich ist jedoch jeder Nutzer, der eine entsprechende raubkopierte Anwendung herunterlädt und ausführt, ein potenzielles Opfer dieser neuen Malware. Eine besondere Schwierigkeit beim Schutz der Nutzer besteht in diesem Zusammenhang darin, dass Nutzer, die raubkopierte Software verwenden, bereits damit rechnen, dass diese Software von Sicherheitstools als Risiko eingestuft wird. Daher werden Sicherheitswarnungen in solchen Situationen oft bewusst ignoriert. | Pirate alert: Jamf’s Threat Labs team has identified a new vulnerability that allows unauthorized access to the user’s endpoint. It is an executable file similar to the ZuRu malware hidden in a number of pirated MacOS applications. These pirated applications are offered for download on piracy websites hosted in China. How does the backdoor work? Jamf Threat Labs discovered an executable file named .fseventsd. This executable is notable because it is both hidden (it starts with a dot) and uses the name of a process built into the operating system. The .fseventsd binary was originally uploaded as part of a larger DMG file. Three pirated applications were found to all contain the same malware. Many of these applications were hosted on macyy[.]cn. The hidden executable runs when the pirated application is launched and connects to the attacker’s system in the background. The file uses the name of an operating system process and is not detected as a malicious process, at least not by the VirusTotal virus and malware database. Analysis of the malware Each pirated application led to the execution of a malicious activity. These are mainly the following activities Malicious dylib: A malicious library that is loaded by the application and acts as a dropper that is executed each time the application is opened. Backdoor: A binary downloaded by the malicious dylib that uses the open source tool Khepri for C2 and post-exploitation. Persistent Downloader: A binary downloaded by the malicious dylib that sets up persistence and downloads additional payloads. The file, which attackers can use to gain access to a system or endpoint, shares several characteristics with the ZuRu malware identified by Objective-S and Trend Micro in 2021. ZuRu has also been detected in pirated applications, including iTerm, SecureCRT, Navicat Premium and the Microsoft Remote Desktop Client. When these applications are run, ZuRu connects in the background to an attacker server, where it uploads sensitive data from the compromised system or device. Who is affected? The Jamf Threat Labs team has identified a total of three pirated applications containing this hidden executable. All three were hosted on a Chinese website where users can find links to pirated software. As with the ZuRu malware identified in 2021, this new malware appears to be primarily targeting Chinese users, as are the attackers themselves: The connections made by the malware to the attacker also refer to Chinese IP addresses. However, any user who downloads and runs a pirated application is a potential victim of this new malware. A particular difficulty in protecting users in this context is that users who use pirated software already expect it to be classified as a risk by security tools. As a result, security warnings are often deliberately ignored in such situations. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de