Jamf威胁实验室的网络安全研究人员发现了一种针对macOS用户的新恶意软件。该恶意软件虽然未命名,但与2021年发现的另一款名为ZuRu的恶意代码有许多相似之处。

MacOS设备正成为盗版应用程序的目标这些应用程序想要劫持您的计算机

研究人员在一份详细报告中表示,该恶意软件被发现隐藏在三个独立的盗版软件中。该软件(包括微软远程桌面)是在一个中文网站上发现的,该网站提供了不同盗版应用程序的链接。

如果用户下载并运行任何受感染的应用程序,恶意软件将在后台下载并执行多个有效负载。这些有效负载都承担着不同的任务,从充当植入程序,到成为后门,再到作为持久下载程序来传递额外的恶意有效负载。

显然,目标似乎是中国macOS用户,类似于ZuRu三年前的做法。

早在2021年,来自Objective-See和TrendMicro的网络安全研究人员就观察到ZuRu隐藏在iTerm、SecureCRT、NavicatPremium和远程桌面客户端等盗版应用程序中。下载这些应用程序的人发现它们按预期工作,但没有注意到Python脚本正在后台执行。

该脚本从受害者端点窃取敏感数据并将其发送到攻击者使用的命令和控制(C2)服务器。

Jamf的研究人员表示:“鉴于其目标应用程序、修改的加载命令和攻击者基础设施,该恶意软件可能是ZuRu恶意软件的后继者。”

研究人员还补充说,盗版软件是隐藏恶意软件的好地方,因为用户知道他们正在从事非法活动,并希望他们的防病毒程序能够提出警告。他们总结道:“这让他们愿意跳过操作系统中内置的任何安全警告提示,例如Gatekeeper,它通知用户这些应用程序无法安全打开。”

因此,防范此类威胁的最佳方法是首先不要窃取和下载盗版软件。