Jamf Threat Labs 的研究人员表示 ，中国网站上传播的盗版macOS应用程序包含恶意软件，允许攻击者远程访问受感染的计算机。

这些程序包括流行的应用程序，如 Navicat Premium、UltraEdit、FinalShell、SecureCRT 和 Microsoft Remote Desktop 远程访问实用程序。

集成到具有 DMG 扩展名的安装程序文件中的恶意代码被配置为与攻击者服务器进行通信。此外，这些未经开发人员数字签名的应用程序实现了一个名为“dylib”的组件，该组件每次启动时都会激活。它依次从远程服务器下载后门“bd.log”和下载器“fl01.log”。这使您能够在系统中立足并安装其他模块。

后门保存在“/tmp/.test”目录中，并提供对受感染系统的完全访问权限。由于它位于临时目录“/tmp”中，因此当计算机关闭时它会被删除，但在下次启动应用程序时会再次创建。

同时，引导加载程序位于隐藏目录“/Users/Shared/.fseventsd”中，创建一个在系统打开时自动运行的任务，并向攻击者的服务器发送HTTP请求。尽管该服务器当前不可用，但下载程序的最初目的是将响应保存到文件“/tmp/.fseventsds”，然后运行生成的恶意代码。

专家表示，该恶意软件与之前发现的 ZuRu 木马类似 ，后者也是通过中国网站上的盗版应用程序传播的。考虑到黑客对目标应用程序、注入方法和基础设施的选择，这很可能是 ZuRu 木马的新版本。

文章原文链接:https://www.anquanke.com/post/id/292828