Обнаружен инструмент для атаки на macOS

Специалисты Битдефендер обнаружил набор вредоносных артефактов, которые, по его словам, являются частью сложного кроссплатформенного инструментария, в том числе предназначенного для устройств под управлением macOS.

Анализ исследователей основан на изучении нескольких образцов вредоносных программ, которые были загружены на VirusTotal неназванной жертвой. Первый пример датирован 18 апреля 2023 года. Отмечается, что на данный момент эти образцы до сих пор не обнаруживаются защитными решениями и «о каждом из них имеется очень мало информации».

Два из обнаруженных вредоносных программ представляют собой простые бэкдоры, написанные на Python и предназначенные для атак на Windows, Linux и macOS. Эти полезные нагрузки были вместе названы JokerSpy в отчете Bitdefender.

Первое вредоносное ПО — это файл shared.dat, который после запуска проверяет операционную систему (0 для Windows, 1 для macOS и 2 для Linux) и устанавливает связь с сервером злоумышленников для получения дополнительных инструкций. Среди них могут быть: сбор информации о системе, выполнение команд, загрузка и выполнение файлов на машине жертвы, закрытие.

На устройствах macOS полученный с сервера контент в кодировке base64 записывается в файл /Users/Shared/AppleAccount.tgz, который впоследствии распаковывается и запускается как приложение /Users/Shared/TempUser/AppleAccountAssistant .app.

На Linux-хостах процесс почти такой же: вредоносная программа проверяет дистрибутив, обращается к файлу /etc/os-release, а затем записывает код C во временный файл tmp.c, который компилируется в файл /tmp/.ICE. . -unix/git с помощью команд cc в Fedora и gcc в Debian.

Специалисты пишут, что среди образцов был обнаружен и «более мощный бэкдор» — файл sh.py, обладающий широким спектром возможностей по сбору системных метаданных, поиску и удалению файлов, выполнению команд и файлов, полученных операторами, и воровство. данные.

Еще одно вредоносное ПО — это двоичный файл FAT под названием «xcc», написанный на Swift и предназначенный для macOS Monterey (версия 12) и новее. Файл содержит два файла Mach-O для двух архитектур Intel x86 и ARM M1.

«Очевидно, что его основная цель — проверка разрешений перед использованием потенциально шпионского компонента (вероятно, для захвата экрана), но он не включает шпионский компонент», — пишут исследователи. «Это навело нас на мысль, что эти файлы являются частью более сложной атаки и что в системе, которую мы исследуем, отсутствует ряд файлов».

Эксперты полагают, что xcc связан с каким-то шпионским ПО, основываясь на пути /Users/joker/Downloads/Spy/XProtectCheck/, который был виден в содержимом файла, а также потому, что он проверяет разрешения, такие как доступ к диску, запись экрана и доступность. .

До сих пор неясно, кто именно стоит за обнаруженным вредоносным ПО, так как неизвестен даже вектор первоначального заражения. Предполагается, что здесь, скорее всего, использовалась социальная инженерия или целевой фишинг.

Source

ЧИТАТЬ  Samsung защитит устройства Galaxy от атак с нулевым кликом