据观察，针对 Apple macOS 用户的盗版应用程序包含后门，能够让攻击者远程控制受感染的计算机。

网络安全公司 Jamf 威胁实验室研究人员 Ferdous Saljooki 和 Jaron Bradley在最新的博客文章中（https://www.jamf.com/blog/jtl-malware-pirated-applications/）写道：“这些应用程序托管在中国盗版网站上，目的是吸引受害者。 ”

“这些应用程序被托管在中国盗版网站上，以吸引受害者。”它补充道。“一旦安装运行，恶意软件将在后台下载并执行多个有效负载，以秘密危害受害者的机器。”

植入后门的磁盘映像 (DMG) 文件经过修改，可与攻击者控制的基础设施建立通信，其中包括 Navicat Premium、UltraEdit、FinalShell、SecureCRT 和 Microsoft Remote Desktop 等合法软件。

这些有效负载提供恶意程序，在目标计算机中打开“后门”，允许攻击者侵入设备并接管它或从中提取有价值的敏感数据。

根据对盗版网站和互联网协议地址的分析，Jamf 认为该恶意软件活动主要针对中国的潜在受害者。

该活动似乎集中在一个名为 .fseventsd 的可执行文件上——Jamf 表示，名称开头的句号或句点使得恶意软件最初不会在 VirusTotal 等网站上被发现。

然而，进一步调查显示，它“没有经过苹果签名”，并且在首次上传时最初隐藏在一个更大的文件中。

Jamf 补充道：“在 VirusTotal 上查找类似文件后，我们发现了三个盗版应用程序，它们都带有相同恶意软件的后门。”

随后，分析师扩大了网络，在互联网上搜索了相同的应用程序，发现许多应用程序都托管在中国盗版网站 macyy[.]cn 上。

这些未签名的应用程序除了托管在名为 macyy[.]cn 的中文网站上之外，还包含一个名为“dylib”的植入组件，该组件在每次打开应用程序时都会执行。

然后，该植入程序充当从远程服务器获取后门（“bd.log”）和下载程序（“fl01.log”）的管道，用于在受感染的计算机上设置持久性并获取额外的有效负载。

后门 – 写入路径“/tmp/.test” – 功能齐全，构建在名为Khepri的开源后利用工具包之上。它位于“/tmp”目录中，这意味着系统关闭时它将被删除。

也就是说，下次加载盗版应用程序并执行植入程序时，它将在同一位置再次创建。

另一方面，下载程序被写入隐藏路径“/Users/Shared/.fseventsd”，随后它创建一个 LaunchAgent 以确保持久性，并将 HTTP GET 请求发送到参与者控制的服务器。

虽然服务器不再可访问，但下载程序旨在将 HTTP 响应写入位于 /tmp/.fseventsds 的新文件，然后启动它。

当然，此类活动的一个主要好处是，受害者本身通过寻找盗版软件也触犯了法律，因此不太可能注意安全警告，而安全警告在这种情况下很常见。

“与安装盗版应用程序的用户打交道的主要困难之一是他们希望看到安全警报，因为该软件不合法。”Jamf 说。“这种期望让他们愿意跳过操作系统内置的任何安全警告提示。”

Jamf 进一步认为，该活动让人想起早期的 ZuRu 恶意软件，该恶意软件于 2021 年首次在 iTerm、SecureCRT、Navicat Premium 和 Microsoft Remote Desktop 的盗版版本中发现。

参考链接：https://cybernews.com/security/china-pirates-mac-os-apple/