Istraživači kibernetičke bezbjednosti otkrili su skup maliciozni artefakata za koje kažu da su dio sofistikovanog kompleta alata koji cilja na Apple macOS sisteme.
“Za sada, ovi uzorci su još uvijek uglavnom neotkriveni i vrlo je malo informacija dostupno o bilo kojem od njih” rekli su istraživači Bitdefender-a Andrei Lapusneanu i Bogdan Botezatu u preliminarnom izvještaju objavljenom u petak.
Analiza rumunske firme zasniva se na ispitivanju četiri uzorka koje je neimenovana žrtva učitala na VirusTotal. Najraniji uzorak datira od 18. aprila 2023. godine.
Za dva od tri maliciozna programa se kaže da su generički backdoor-ovi bazirani na Python-u koji su dizajnirani da ciljaju Windows, Linux i macOS sisteme. Payload je zajednički nazvan JokerSpy.
Prvi sastavni dio je shared.dat, koji nakon pokretanja pokreće provjeru operativnog sistema (0 za Windows, 1 za macOS i 2 za Linux) i uspostavlja kontakt sa udaljenim serverom kako bi dohvatio dodatna uputstva za izvršenje.
Ovo uključuje prikupljanje sistemskih informacija, pokretanje komandi, preuzimanje i izvršavanje datoteka na mašini žrtve i samoukidanje.
Na uređajima koji koriste macOS, Base64 kodirani sadržaj preuzet sa servera upisuje se u datoteku pod nazivom “/Users/Shared/AppleAccount.tgz” koja se kasnije raspakuje i pokreće kao aplikacija “/Users/Shared/TempUser/AppleAccountAssistant.app”.
Ista rutina, na Linux hostovima, potvrđuje distribuciju operativnog sistema provjeravanjem datoteke “/etc/os-release“. Zatim nastavlja sa pisanjem C koda u privremenu datoteku “tmp.c”, koja se kompajlira u datoteku pod nazivom “/tmp/.ICE-unix/git” koristeći naredbu cc na Fedori i gcc na Debianu.
Bitdefender je rekao da je takođe pronašao “moćniji backdoor” među uzorcima, datoteku s oznakom “sh.py” koja dolazi s opsežnim skupom mogućnosti za prikupljanje sistemskih metapodataka, nabrajanje datoteka, brisanje datoteka, izvršavanje naredbi i datoteka i eksfiltrovanje kodiranih podataka u serijama.
Treća komponenta je binarni fajl FAT poznat kao xcc koji je napisan u Swift-u i cilja na macOS Monterey (verzija 12) i novije. U fajlu se nalaze dva Mach-O fajla za dvostruke CPU arhitekture, x86 Intel i ARM M1.
“Njegova primarna svrha je očito provjeriti dozvole prije korištenja potencijalne komponente špijunskog softvera, vjerovatno za snimanje ekrana, ali ne uključuje samu komponentu špijunskog softvera” rekli su istraživači.
“Ovo nas navodi da vjerujemo da su ovi fajlovi dio složenijeg napada i da nekoliko datoteka nedostaje u sistemu koji smo istražili.”
XCC-ove špijunske veze potiču iz putanje identifikovane unutar sadržaja datoteke, “/Users/joker/Downloads/Spy/XProtectCheck/” i činjenice da provjerava dozvole kao što su pristup disku, snimanje ekrana i pristupačnost.
Identitet hakera koji stoje iza aktivnosti još uvijek nije poznat. Trenutno takođe nije jasno kako se dobija početni pristup i da li uključuje element društvenog inženjeringa ili krađe identiteta.
Ovo otkrivanje dolazi nešto više od dvije sedmice nakon što je ruska kompanija za kibernetičku bezbjednost Kaspersky otkrila da su iOS uređaji na meti kao dio sofistikovane i dugotrajne mobilne kampanje nazvane Operation Triangulation koja je započela 2019. godine.
Izvor: The Hacker News