Bitdefender откри набор от злонамерени артефакти, които според тях са част от сложен инструментариум за различни платформи, включително такъв, който е насочен към устройства с macOS.
Напомням, че и това писахме Пиратски софтуер за MacOS Предлага се със зловреден софтуер, а също и това Уязвимост в iOS и macOS позволява подслушване на разговори в Siri.
Също така медиите съобщиха, че 0-ден уязвимостта в macOS беше използвана за атака на посетители на новинарски сайтове в Хонконг.
Анализът на Bitdefender изследователи се основава на изследването на няколко проби от зловреден софтуер които бяха качени в VirusTotal от неназована жертва. Най-ранният пример е от април 18, 2023. Отбелязва се, че в момента тези проби все още са слабо открити от решенията за сигурност и “има много малко информация за всеки от тях.”
Два от откритите зловреден софтуер са обикновени задни врати, написани на Python и предназначени да атакуват Windows, Linux и macOS. Тези полезни товари са колективно наричани JokerSpy в доклад на Bitdefender.
Първият зловреден софтуер е shared.dat файл, който, след стартиране, проверява операционната система (0 за Windows, 1 за macOS, и 2 за Linux) и се свързва с нападателите’ сървър за допълнителни инструкции. Сред тях може да има: събиране на информация за системата, изпълняване на команди, изтегляне и изпълнение на файлове на машината на жертвата, и изключване.
На устройства с macOS, base64 кодирано съдържание, получено от сървъра, се записва във файла /Users/Shared/AppleAccount.tgz, който впоследствие се разопакова и стартира като приложението /Users/Shared/TempUser/AppleAccountAssistant.app.
На Linux хостове, процесът е почти същият: зловреден софтуер проверява разпространението чрез достъп до файла /etc/os-release, и след това записва C код във временен tmp.c файл, който се компилира във файла /tmp/.ICE-unix/git с помощта на команди cc на Fedora и gcc на Debian.
Експерти пишат, че сред пробите, беше открита и „по-мощна задна вратичка“. – на sh.py файл, който има обширен набор от възможности за събиране на системни метаданни, търсене и изтриване на файлове, изпълнение на команди и файлове, получени от оператори, и кражба на данни.
Друг зловреден софтуер е FAT двоичен файл, наречен “xcc” написан на Swift и предназначен за macOS Monterey (версия 12) и по-нови. Файлът съдържа два Mach-O файла за две архитектури x86 Intel и ARM M1.
Експертите смятат, че xcc е свързан с някакъв вид шпионски софтуер въз основа на пътя /Users/joker/Downloads/Spy/XProtectCheck/, който се вижда в съдържанието на файла, и защото проверява разрешения като достъп до диск, Запис на екрана и достъпност.
Все още не е ясно кой точно стои зад открития зловреден софтуер, тъй като дори векторът на първоначалната инфекция е неизвестен. Предполага се, че тук най-вероятно е използвано социално инженерство или фишинг.
Оставете коментар