A seguito di vari avvisi di minaccia, i ricercatori di sicurezza del Jamf Threat Lab si sono imbattuti in un file denominato .fseventsd come quello integrato nel sistema operativo macOS e utilizzato per tenere traccia delle modifiche a file e directory e archiviare dati di eventi a livello di sistema operativo.

I ricercatori hanno tuttavia notato che il file .fseventsd non è un eseguibile, ma un registro nativo, inoltre hanno scoperto che Apple non ha firmato questo file sospetto.

Continuando a indagare i ricercatori sono stati in grado di determinare che questo file sospetto era stato originariamente caricato come parte di cinque file di immagini disco (DMG) contenenti codice modificato di applicazioni comunemente piratate, tra cui FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT e UltraEdit.

Trovato un pericoloso malware in alcune app macOS frequentemente piratate

I ricercatori spiegano che queste applicazioni vengono ospitate su siti Web pirata cinesi per scopi malevoli. In pratica installano di nascosto un malware che agendo sotto traccia può consentire agli aggressori di raccogliere informazioni sul sistema di una vittima, scaricare e caricare file e persino aprire una shell remota, sfruttando il progetto open source Khepri.

I ricercatori del Jamf Threat Lab affermano che questo malware potrebbe essere il successore di ZuRu, date le applicazioni che prende di mira e il modo in cui è stato implementato.

Il team fa notare che poiché la backdoor Khepri rimane nascosta in un file temporaneo, viene eliminata ogni volta che il Mac della vittima si riavvia o si spegne, tuttavia il dylib dannoso verrà caricato nuovamente la volta successiva che l’utente aprirà l’applicazione.

Sebbene Jamf ritenga che questo attacco prenda di mira principalmente le vittime in Cina, serve a ricordare quali sono i rischi che si corrono quando si installa software piratato, poiché molti utenti tendono a ignorare gli avvisi di sicurezza dell’antivirus o del sistema perché sono consapevoli che il software che stanno installando non è legittimo.