هشدار کارشناسان درباره درب پشتی macOS

برنامه‌های غیرقانونی که کاربران macOS اپل را هدف قرار می‌دهند حاوی یک درب پشتی هستند که می‌توانند این امکان را به مهاجمان بدهند تا به دستگاه های آسیب دیده، کنترل از راه دور داشته باشند. 
طبق گفته  Ferdous Saljookiو Jaron Bradley ، «این برنامه‌ها در وب‌سایت‌های غیرقانونی چینی میزبانی می‌شوند تا قربانی بگیرند».
این بدافزار چندین پیلود را در پس‌زمینه، دانلود و اجرا می‌کند تا مخفیانه دستگاه قربانی را در معرض خطر قرار دهد.
فایل‌های تصویر دیسک درب پشتی (DMG) که برای برقراری ارتباط با زیرساخت‌های کنترل‌شده اصلاح شده‌اند، شامل نرم‌افزارهای قانونی مانند Navicat Premium، UltraEdit، FinalShell، SecureCRT و Microsoft Remote Desktop می باشند.
برنامه های بدون امضا، علاوه بر میزبانی در یک وب سایت چینی به نام macyy[.]cn، یک جزء قطره چکان به نام "dylib" را در خود جای داده اند که هر بار که برنامه باز می شود اجرا می شوند. 
درب پشتی - نوشته شده در مسیر "/tmp/.test" - دارای ویژگی های کامل است و پس از بهره برداری منبع باز بر روی یک جعبه ابزار به نام Khepri ساخته شده است. این واقعیت که در دایرکتوری "/tmp" قرار دارد به این معنی است که با خاموش شدن سیستم حذف می شود. با این حال، دفعه بعد که برنامه غیرقانونی بارگیری شد و قطره چکان اجرا شد، دوباره در همان مکان ایجاد می شود.
از سوی دیگر، دانلود کننده در مسیر پنهان "/Users/Shared/.fseventsd" یک LaunchAgent را برای اطمینان از پایداری ایجاد می کند و یک درخواست HTTP GET را به یک سرور تحت کنترل ارسال می کند.
در حالی که این سرور در دسترس نیست، دانلودکننده طوری طراحی شده است که پاسخ HTTP را به فایل جدیدی که در tmp/.fseventsds/ قرار دارد بنویسد و سپس آن را راه اندازی کند.
Jamf گفت که این بدافزار شباهت‌های زیادی با ZuRu دارد که در گذشته از طریق برنامه‌های غیرقانونی در سایت‌های چینی منتشر شده بود.
محققان گفتند: «ممکن است این بدافزار جانشین بدافزار ZuRu با برنامه های هدفمند، دستورات اصلاح شده و زیرساخت مهاجم باشد.

منبع:

https://thehackernews.com/2024/01/experts-warn-of-macos-backdoor-hidden.html