Nepoznata mjenjačnica kriptovaluta koja se nalazi u Japanu bila je meta novog napada ranije ovog mjeseca kako bi se implementovao Apple macOS backdoor pod nazivom JokerSpy.
Elastic Security Labs, koji nadgleda skup upada pod imenom REF9134, rekao je da je napad doveo do instaliranja Swiftbelt-a, alata za nabrajanje baziran na Swiftu inspirisan uslužnim programom otvorenog koda koji se zove SeatBelt.
JokerSky je prvi put dokumentovao Bitdefender prošle sedmice, opisujući ga kao sofistikovani alat dizajniran za probijanje macOS masina.
Vrlo malo se zna o hakeru koji stoji iza operacije osim činjenice da napadi koriste skup programa napisanih na Python-u i Swiftu koji dolaze sa mogućnostima prikupljanja podataka i izvršavanja proizvoljnih naredbi na kompromitovanim hostovima.
Primarna komponenta kompleta alata je samopotpisana multiarhitekturna binarna datoteka poznata kao xcc koja je dizajnirana da provjerava dozvole za FullDiskAccess i ScreenRecording.
Datoteka je potpisana kao XProtectCheck, što ukazuje na pokušaj maskiranja kao XProtect, ugrađenu antivirusnu tehnologiju unutar macOS-a koja koristi pravila detekcije zasnovana na potpisu za uklanjanje malicioznog softvera sa već zaraženih hostova.
U incidentu koji je analizirao Elastic, stvaranje xcc-a prati haker “koji pokušava zaobići TCC dozvole kreiranjem vlastite TCC baze podataka i pokušavajući zamijeniti postojeću.”
“Prvog juna je viđen novi alat baziran na Python-u koji se izvršava iz istog direktorija kao xcc i korišten je za izvršavanje alata za nabrajanje nakon eksploatacije macOS-a otvorenog koda poznatog kao Swiftbelt” rekli su istraživači sigurnosti Colson Wilhoit, Salim Bitam, Seth Goodwin, Andrew Pease i Ricardo Ungureanu.
Napad je bio usmjeren na velikog dobavljača usluga kriptovaluta sa sjedištem u Japanu koji se fokusirao na razmjenu imovine za trgovanje Bitcoin, Ethereum i drugim uobičajenim kriptovalutama. Naziv kompanije nije saopšten.
Binarni xcc se, sa svoje strane, pokreće pomoću Bash-a preko tri različite aplikacije koje se zovu IntelliJ IDEA, iTerm (emulator terminala za macOS) i Visual Studio Code, što ukazuje da se verzije aplikacija za razvoj softvera sa pozadinskim pristupom vjerovatno koriste za dobiti početni pristup.
Još jedan značajan modul instaliran kao dio napada je sh.py, Python implant koji se koristi kao kanal za isporuku drugih alata nakon eksploatacije kao što je Swiftbelt.
„Za razliku od drugih metoda nabrajanja, Swiftbelt poziva Swift kod kako bi izbjegao stvaranje artefakata komandne linije“ rekli su istraživači. “Primjetno, xcc varijante su takođe napisane pomoću Swift-a.”
