I ricercatori di Jamf Threat Labs hanno condiviso dettagli sulla loro analisi del malware che hanno scoperto nelle applicazioni macOS piratate.
Questo malware, che secondo l’analisi di Jamf sembra simile al malware ZuRu, scarica ed esegue diversi payload per compromettere i computer in background.
Jamf Threat Labs è un team globale di ricercatori esperti di minacce, esperti di cybersecurity e data scientist con competenze che spaziano dai test di penetrazione al monitoraggio della rete, dalla ricerca di malware alla valutazione del rischio delle app. Il team monitora ed esplora principalmente le minacce emergenti che colpiscono i dispositivi Mac e mobili. Infatti, lo ricordiamo, Jamf è la società specializzata in Apple device management e protezione degli endpoint per Mac e mobile.
Tutto è partito dal fatto che Jamf Threat Labs ha individuato una serie di applicazioni macOS piratate che sono state modificate affinché comunicassero con l’infrastruttura degli aggressori. Queste applicazioni – spiega il team – sono ospitate su siti web cinesi di pirateria proprio al fine di adescare potenziali vittime. Una volta attivato, il malware scarica ed esegue diversi payload in background per compromettere segretamente il computer della vittima.
Mentre i ricercatori esaminavano vari avvisi di minacce, si sono imbattuti in un eseguibile con il nome .fseventsd. Questo eseguibile è degno di nota – spiegano gli esperti di cybersecurity – perché è nascosto (inizia con un punto) e utilizza il nome di un processo integrato nel sistema operativo. Inoltre, non è firmato da Apple e al momento della ricerca da parte del team non aveva alcuna indicazione di essere dannoso su VirusTotal.
Tali caratteristiche hanno insospettito il team, che ha valutato che giustificassero ulteriori indagini. Utilizzando VirusTotal, gli esperti di Jamf sono riusciti a determinare che questo file binario .fseventsd dall’aspetto curioso era stato originariamente caricato come parte di un file DMG più grande. Dopo aver cercato file simili su VirusTotal, il team ha scoperto tre applicazioni piratate che erano state tutte fatte oggetto di backdoor con lo stesso malware. Cercando queste applicazioni su Internet, il team ha scoperto che molte erano ospitate sullo stesso sito web cinese che fornisce collegamenti a molte applicazioni piratate, e ha anche scoperto altri due DMG “trojanizzati” nello stesso modo che non erano ancora stati inseriti in VirusTotal.
Non è la prima volta che Jamf Threat Labs scopre malware all’interno di applicazioni piratate. Una delle maggiori difficoltà nel trattare con gli utenti che installano applicazioni piratate, sottolinea il team, è il fatto che si aspettano di vedere avvisi di sicurezza dovuti al fatto che il software non è legittimo. Questo li porta a ignorare qualsiasi avviso di sicurezza integrato nel sistema operativo, come Gatekeeper, che informa l’utente che queste applicazioni non sono sicure da aprire. Si tratta quindi di una pratica, oltre che illecita, anche molto pericolosa.
Tutti i dettagli su questa minaccia per i dispositivi macOS sono disponibili sul blog di Jamf Threat Labs.
