7 วิธีที่ผู้คุกคามส่งมัลแวร์ ใช้โจมตี macOS ในองค์กร หน้า 2
7 วิธีที่ผู้คุกคามส่งมัลแวร์ ใช้โจมตี macOS ในองค์กร5. Trojan Applications การโจมตีที่เก็บข้อมูลแพ็คเกจสามารถทำลายและขยายวงกว้างได้: พวกมันจะถูกค้นพบและดึงดูดความสนใจอย่างมากอย่างหลีกเลี่ยงไม่ได้ ในทางตรงกันข้าม ผู้คุกคามที่ต้องการส่งมัลแวร์ไปยังเป้าหมายเฉพาะเจาะจงอย่างลับๆ อาจเลือกที่จะโทรจันแอปพลิเคชันยอดนิยม ในปี 2021 ลิงก์ผู้สนับสนุนในเสิร์ชเอ็นจิ้นของ Baidu ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ผ่าน iTerm2 เวอร์ชันโทรจันของแอปพลิเคชันเทอร์มินัลยอดนิยม การตรวจสอบเพิ่มเติมใน OSX.Zuru ตามที่ทราบกันดีว่าพบว่าแคมเปญนี้ยังใช้ Remote Desktop ของ Microsoft เวอร์ชันโทรจันสำหรับ Mac, Navicat และ SecureCRT แอปได้รับการออกแบบร่วมกันโดยมี Developer signature ที่แตกต่างจาก Legitimate signature โดยหลักแล้วเพื่อให้แน่ใจว่าจะไม่ถูกบล็อกโดย Gatekeeper นอกเหนือจากการแทนที่ Original code signature แล้ว ผู้คุกคามยังได้แก้ไขบันเดิลของแอปพลิเคชันด้วย dylib ที่เป็นอันตรายในโฟลเดอร์ .app/Contents/Frameworks/ ที่เรียกว่า libcrypto.2.dylib การวิเคราะห์ไฟล์นี้เผยให้เห็นฟังก์ชันการทำงานสำหรับการสำรวจสภาพแวดล้อมในเครื่อง เข้าถึงเซิร์ฟเวอร์ C2 และดำเนินการคำสั่งระยะไกลผ่านแบ็คดอร์ การเลือกแอพที่ถูกโทรจันนั้นน่าสนใจและชี้ให้เห็นว่าผู้คุกคามกำลังกำหนดเป้าหมายผู้ใช้แบ็คเอนด์ของเครื่องมือที่ใช้สำหรับการเชื่อมต่อระยะไกลและการจัดการฐานข้อมูลธุรกิจ…