Bitdefender ha scoperto una serie di artefatti dannosi che secondo loro fanno parte di un complesso toolkit multipiattaforma, incluso uno che prende di mira i dispositivi macOS.
Lascia che ti ricordi che abbiamo scritto anche quello Software piratato per Mac OS Viene fornito con malware, e anche quello Una vulnerabilità in iOS e macOS ha consentito l'intercettazione delle conversazioni di Siri.
Anche i media hanno riferito che il 0-giorno La vulnerabilità in macOS è stata sfruttata per attaccare i visitatori dei siti di notizie di Hong Kong.
L'analisi di Bitdefender ricercatori si basa sullo studio di diversi campioni di malware che sono stati caricati su Virus Total da una vittima senza nome. Il primo esempio è datato aprile 18, 2023. Va notato che al momento questi campioni sono ancora scarsamente rilevati dalle soluzioni di sicurezza e “sono disponibili pochissime informazioni su nessuno di essi.”
Due dei malware rilevati sono semplici backdoor scritte in Python e progettate per attaccare Windows, Linux e macOS. Questi carichi utili sono stati collettivamente denominati JokerSpia in un rapporto di Bitdefender.
Il primo malware è il condiviso.dat file, Quale, dopo essere stato lanciato, controlla il sistema operativo (0 per Windows, 1 per macOS, E 2 per Linux) e contatta gli aggressori’ server per ulteriori istruzioni. Tra questi potrebbe esserci: raccogliere informazioni sul sistema, eseguendo comandi, scaricare ed eseguire file sul computer della vittima, e spegnersi.
Su dispositivi macOS, il contenuto codificato base64 ricevuto dal server viene scritto nel file /Users/Shared/AppleAccount.tgz, che viene successivamente decompresso e avviato come applicazione /Users/Shared/TempUser/AppleAccountAssistant.app.
Su host Linux, il processo è quasi lo stesso: the malware checks the distribution by accessing the /etc/os-release file, and then writes C code to a temporary tmp.c file, which is compiled into the /tmp/.ICE-unix/git file using cc commands on Fedora and gcc on Debian.
Experts write that among the samples, a “more powerful backdoor” was also found – IL sh.py file, which has an extensive set of capabilities for collecting system metadata, searching and deleting files, executing commands and files received from operators, and stealing data.
Another malware is a FAT binary called “xcc” written in Swift and intended for macOS Monterey (version 12) and newer. The file contains two Mach-O files for two x86 Intel and ARM M1 architectures.
Gli esperti ritengono che xcc sia correlato a una sorta di spyware basato sul percorso /Users/joker/Downloads/Spy/XProtectCheck/ visualizzato nel contenuto del file, e perché controlla autorizzazioni come Accesso al disco, Registrazione dello schermo e accessibilità.
Non è ancora chiaro chi si nasconda esattamente dietro il malware rilevato, poiché anche il vettore dell'infezione iniziale è sconosciuto. Si presume che molto probabilmente qui sia stato utilizzato l'ingegneria sociale o lo spear phishing.
Lascia un commento