Bitdefender hat eine Reihe bösartiger Artefakte entdeckt, die angeblich Teil eines komplexen plattformübergreifenden Toolkits sind, darunter eines, das auf macOS-Geräte abzielt.
Ich möchte Sie daran erinnern, dass wir das auch geschrieben haben Raubkopien von Software für Mac OS Kommt mit Malware, und auch das Sicherheitslücke in iOS und macOS ermöglicht das Abhören von Siri-Gesprächen.
Auch die Medien berichteten, dass die 0-Tag Sicherheitslücke in macOS wurde ausgenutzt, um Besucher von Nachrichtenseiten aus Hongkong anzugreifen.
Die Analyse von Bitdefender Forscher basiert auf der Untersuchung mehrerer Malware-Beispiele die hochgeladen wurden VirusTotal von einem namentlich nicht genannten Opfer. Das früheste Beispiel stammt aus dem April 18, 2023. Es wird darauf hingewiesen, dass diese Proben derzeit von Sicherheitslösungen noch schlecht erkannt werden “Über sie liegen nur sehr wenige Informationen vor.”
Bei zwei der erkannten Malware handelt es sich um einfache, in Python geschriebene Hintertüren, die darauf ausgelegt sind, Windows anzugreifen, Linux und macOS. Diese Nutzlasten werden zusammenfassend als bezeichnet JokerSpy in einem Bitdefender-Bericht.
Die erste Malware ist die shared.dat Datei, welche, nach dem Start, überprüft das Betriebssystem (0 für Windows, 1 für macOS, Und 2 für Linux) und kontaktiert die Angreifer’ Weitere Anweisungen finden Sie auf dem Server. Unter ihnen kann es sein: Sammeln von Informationen über das System, Befehle ausführen, Herunterladen und Ausführen von Dateien auf dem Computer des Opfers, und abschalten.
Auf macOS-Geräten, Base64-codierte Inhalte, die vom Server empfangen werden, werden in die Datei /Users/Shared/AppleAccount.tgz geschrieben, die anschließend entpackt und als Anwendung /Users/Shared/TempUser/AppleAccountAssistant.app gestartet wird.
Auf Linux-Hosts, Der Prozess ist fast derselbe: Die Malware überprüft die Verteilung, indem sie auf die Datei /etc/os-release zugreift, und schreibt dann C-Code in eine temporäre tmp.c-Datei, welches mit cc-Befehlen auf Fedora und gcc auf Debian in die Datei /tmp/.ICE-unix/git kompiliert wird.
Experten schreiben das unter die Proben, Es wurde auch eine „leistungsstärkere Hintertür“ gefunden – Die sh.py Datei, das über umfangreiche Funktionen zum Sammeln von Systemmetadaten verfügt, Suchen und Löschen von Dateien, Ausführen von Befehlen und Dateien, die von Bedienern empfangen wurden, und Daten stehlen.
Eine weitere Malware ist eine FAT-Binärdatei namens “xcc” geschrieben in Swift und gedacht für macOS Monterey (Ausführung 12) und neuer. Die Datei enthält zwei Mach-O-Dateien für zwei x86-Intel- und ARM-M1-Architekturen.
Experten glauben, dass xcc mit einer Art Spyware zusammenhängt, basierend auf dem Pfad /Users/joker/Downloads/Spy/XProtectCheck/, der im Inhalt der Datei gefunden wurde, und weil es Berechtigungen wie den Festplattenzugriff überprüft, Bildschirmaufzeichnung und Barrierefreiheit.
Noch ist unklar, wer genau hinter der entdeckten Schadsoftware steckt, da selbst der Vektor der Erstinfektion unbekannt ist. Es wird davon ausgegangen, dass hier höchstwahrscheinlich Social Engineering oder Spear-Phishing zum Einsatz kam.
Hinterlasse einen Kommentar