Bitdefender odkrył zestaw złośliwych artefaktów, które według nich stanowią część złożonego, wieloplatformowego zestawu narzędzi, w tym taki, który jest skierowany na urządzenia z systemem macOS.
Przypomnę, że to też pisaliśmy Pirackie oprogramowanie dla System operacyjny Mac W zestawie ze złośliwym oprogramowaniem, i to też Luka w iOS i macOS umożliwiła podsłuchiwanie rozmów Siri.
Media doniosły także, że 0-dzień Luka w zabezpieczeniach systemu macOS została wykorzystana do ataku na osoby odwiedzające witryny informacyjne w Hongkongu.
Analiza Bitdefendera badacze opiera się na badaniu kilku próbek złośliwego oprogramowania które zostały przesłane do Wirus Razem przez anonimową ofiarę. Najstarszy egzemplarz pochodzi z kwietnia 18, 2023. Należy zauważyć, że w tej chwili próbki te są nadal słabo wykrywane przez rozwiązania bezpieczeństwa i “o którymkolwiek z nich jest bardzo mało informacji.”
Dwa z wykrytych szkodliwych programów to proste backdoory napisane w języku Python i zaprojektowane do atakowania systemu Windows, Linux i macOS. Ładunki te zostały wspólnie nazwane JokerSzpieg w raporcie Bitdefendera.
Pierwszym złośliwym oprogramowaniem jest udostępnione.dat plik, Który, po uruchomieniu, sprawdza system operacyjny (0 dla Windowsa, 1 dla systemu macOS, I 2 dla Linuksa) i kontaktuje się z napastnikami’ serwer, aby uzyskać dodatkowe instrukcje. Wśród nich może być: zbieranie informacji o systemie, wykonywanie poleceń, pobieranie i uruchamianie plików na komputerze ofiary, i wyłączanie.
Na urządzeniach z systemem macOS, Treść zakodowana w formacie Base64 otrzymana z serwera jest zapisywana w pliku /Users/Shared/AppleAccount.tgz, która jest następnie rozpakowywana i uruchamiana jako aplikacja /Users/Shared/TempUser/AppleAccountAssistant.app.
Na hostach Linux, proces jest prawie taki sam: szkodliwe oprogramowanie sprawdza dystrybucję, uzyskując dostęp do pliku /etc/os-release, a następnie zapisuje kod C do tymczasowego pliku tmp.c, który jest kompilowany do pliku /tmp/.ICE-unix/git przy użyciu poleceń cc w Fedorze i gcc w Debianie.
Eksperci piszą to wśród próbek, Znaleziono także „potężniejszego backdoora”. – the sh.py plik, który posiada rozbudowany zestaw możliwości gromadzenia metadanych systemowych, wyszukiwanie i usuwanie plików, wykonywanie poleceń i plików otrzymanych od operatorów, i kradzież danych.
Innym złośliwym oprogramowaniem jest plik binarny FAT o nazwie “xcc” napisany w języku Swift i przeznaczony dla systemu macOS Monterey (wersja 12) i nowsze. Plik zawiera dwa pliki Mach-O dla dwóch architektur x86 Intel i ARM M1.
Eksperci uważają, że xcc jest powiązany z jakimś oprogramowaniem szpiegującym na podstawie ścieżki /Users/joker/Downloads/Spy/XProtectCheck/ widocznej w zawartości pliku, i ponieważ sprawdza uprawnienia, takie jak dostęp do dysku, Nagrywanie ekranu i dostępność.
Nadal nie jest jasne, kto dokładnie stoi za wykrytym szkodliwym oprogramowaniem, ponieważ nawet wektor początkowej infekcji nie jest znany. Zakłada się, że najprawdopodobniej wykorzystano tu socjotechnikę lub spear phishing.
Zostaw komentarz