Dat je meer risico’s neemt als je gepirateerde, en dus illegale, software installeert, dat is natuurlijk een open deur van jewelste. Maar nieuw onderzoek van de onderzoekers van het Jamf Threat Lab laat nog eens zien dat die risico’s niet theoretisch zijn, integendeel.

Want deze onderzoekers vonden een verborgen en uitvoerbaar bestand (executable ) met de naam .fseventsd, terwijl dat helemaal niet uitvoerbaar zou moeten zijn.



De executable gebruikt (natuurlijk niet toevallig) de naam van een echt proces wat is ingebouwd in het macOS-besturingssysteem,en dat wordt gebruikt om wijzigingen in bestanden en mappen bij te houden en gebeurtenis gegevens op te slaan voor functies zoals Time Machine-back-ups. Maar het echte .fseventsd is helemaal geen uitvoerbaar bestand, het is een native log. Bovendien ontdekte Jamf dat dit verdachte bestand ook niet door Apple ondertekend was.

Sindsdien werden er al vijf disk images (DMG’s) gevonden met gewijzigde code van vaak illegaal gekopieerde applicaties, dat waren FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT en UltraEdit. Mocht jij geen van deze apps gebruiken dan zegt dat nog erg weinig, het onderzoek is nog maar net gestart.

Waarschuwingen van Apple

Omdat bij het installeren van gepirateerde software de gebruiker de waarschuwingen van Apple voor lief neemt, kan dit soort troep op je Mac terecht komen. Hoewel de apps er oppervlakkig normaal uitzien en zich gedragen zoals bedoeld, wordt er op de achtergrond een dropper uitgevoerd om communicatie tot stand te brengen met een infrastructuur die onder controle staat van een aanvaller.

Op een hoger niveau voert de .fseventsd binary drie schadelijke activiteiten uit: eerst wordt een schadelijk dylib-bestand (dynamische bibliotheek) geladen, deze fungeert als een dropper die wordt uitgevoerd telkens wanneer de toepassing wordt geopend. Dit wordt gevolgd door een backdoor binary download die gebruik maakt van de Khepri open-source command-and-control (C2) en post-exploitation tool en een downloader die instelt dat de malware actief moet blijven en ook weer extra software (payloads) downloadt.



Normale gebruikers hebben waarschijnlijk nooit door dat dit allemaal op hun Mac gebeurt, ondertussen is er contact met China, want al deze gepirateerde software komt origineel allemaal uit China. Door het besparen van een paar euro’s geef je dus mogelijk erg veel weg.



 #Privacy #Malware

Link naar het relevante Jamf artikel:
https://www.jamf.com/blog/jtl-malware-pirated-applications/