Jamf Threat Labs meddelade på torsdagen att de har upptäckt ett nytt hot mot Mac OS. Den skadliga programvaran liknar den skadliga programvaran ZuRu som upptäcktes 2021.
Den distribueras via piratkopierad programvara som finns på servrar belägna i Kina. När en användare startar den piratkopierade appen använder ett skadligt bibliotek, kopplat till appen via en bakdörr byggd med open source-verktyget Khepri, en post-exploitation tool. På så sätt kan den skadliga programvaran undvika att upptäckas av antivirusprogram. Den skadliga programvaran kommunicerar sedan med angriparen, som kan ladda ned programvara på den angripna datorn och styra den.
Jamf upptäckte den skadliga programvaran när de undersökte andra hot. En körbar fil som heter “.fseventsd” stack ut eftersom den är dold och har samma namn som en process i Mac OS. Jamf noterar också att den körbara filen inte var signerad av Apple och inte flaggades som skadlig på VirusTotal, en webbplats som analyserar misstänkta filer.
De piratkopierade appar där Jamf upptäckte den skadliga programvaran inkluderar FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT och UltraEdit. “Det är möjligt att denna malware är en efterföljare till ZuRu, med tanke på dess riktade applikationer, modifierade laddningskommandon och angriparens infrastruktur”, uppger Jamf.
Så undviker du attacker med skadlig kod
Jamf anser att den nya skadliga programvaran “främst verkar rikta in sig på offer i Kina.” Eftersom den sprids via piratkopierad programvara är det enklaste sättet att undvika den att endast använda legitimt förvärvade appar från betrodda källor, som App Store (som gör säkerhetskontroller av sin programvara) eller direkt från utvecklaren.
Apple har skydd på plats i Mac OS och företaget släpper regelbundet säkerhetsuppdateringar, så det är viktigt att installera dem när de är tillgängliga. Om Apple drar tillbaka en uppdatering kommer de att släppa den så snart den är reviderad.
Översatt av Petter Ahrnstedt