Bitdefender a découvert un ensemble d'artefacts malveillants qui, selon eux, font partie d'une boîte à outils multiplateforme complexe., dont un qui cible les appareils macOS.
Permettez-moi de vous rappeler que nous avons également écrit cela Logiciel piraté pour Mac OS Livré avec un logiciel malveillant, et aussi que Une vulnérabilité dans iOS et macOS autorise l'écoute clandestine des conversations Siri.
Les médias ont également rapporté que 0-jour une vulnérabilité de macOS a été exploitée pour attaquer les visiteurs des sites d'information de Hong Kong.
L'analyse de Bitdefender des chercheurs est basé sur l’étude de plusieurs échantillons de malwares qui ont été téléchargés sur VirusTotal par une victime anonyme. Le premier exemple est daté d'avril 18, 2023. On constate qu'à l'heure actuelle ces échantillons sont encore mal détectés par les solutions de sécurité et “très peu d’informations sont disponibles sur chacun d’entre eux.”
Deux des logiciels malveillants détectés sont de simples portes dérobées écrites en Python et conçues pour attaquer Windows., Linux et macOS. Ces charges utiles ont été collectivement appelées JokerEspion dans un rapport Bitdefender.
Le premier malware est le partagé.dat déposer, lequel, après avoir été lancé, vérifie le système d'exploitation (0 Pour les fenêtres, 1 pour macOS, et 2 pour Linux) et contacte les attaquants’ serveur pour des instructions supplémentaires. Parmi eux peut être: collecter des informations sur le système, exécuter des commandes, télécharger et exécuter des fichiers sur la machine de la victime, et l'arrêt.
Sur les appareils macOS, Le contenu codé en base64 reçu du serveur est écrit dans le fichier /Users/Shared/AppleAccount.tgz., qui est ensuite décompressé et lancé en tant qu'application /Users/Shared/TempUser/AppleAccountAssistant.app.
Sur les hôtes Linux, le processus est presque le même: le malware vérifie la distribution en accédant au fichier /etc/os-release, puis écrit le code C dans un fichier tmp.c temporaire, qui est compilé dans le fichier /tmp/.ICE-unix/git à l'aide des commandes cc sur Fedora et gcc sur Debian.
Les experts écrivent que parmi les échantillons, une « porte dérobée plus puissante » a également été trouvée – le sh.py déposer, qui dispose d'un ensemble étendu de fonctionnalités pour collecter des métadonnées système, rechercher et supprimer des fichiers, exécuter des commandes et des fichiers reçus des opérateurs, et voler des données.
Un autre malware est un binaire FAT appelé “xcc” écrit en Swift et destiné à macOS Monterey (version 12) et plus récent. Le fichier contient deux fichiers Mach-O pour deux architectures x86 Intel et ARM M1.
Les experts pensent que xcc est lié à une sorte de logiciel espion basé sur le chemin /Users/joker/Downloads/Spy/XProtectCheck/ qui a été vu dans le contenu du fichier., et parce qu'il vérifie les autorisations telles que l'accès au disque, Enregistrement d'écran et accessibilité.
On ne sait toujours pas exactement qui se cache derrière le malware détecté., puisque même le vecteur de l’infection initiale est inconnu. On suppose que l’ingénierie sociale ou le spear phishing ont très probablement été utilisés ici..
Laissez un commentaire