Исследователи в области кибербезопасности компании Bitdefender обнаружили набор вредоносных объектов, которые, по их мнению, являются частью сложного инструментария, нацеленного на системы macOS.
Анализ румынских специалистов основан на изучении четырёх образцов, которые были загружены на VirusTotal анонимной жертвой. Самый ранний образец датируется 18 апреля 2023 года.
Два из трёх вредоносных объектов представляют собой общие бэкдоры на основе Python, предназначенные для систем Windows, Linux и macOS. Все они получили общее название JokerSpy
Первой составляющей является файл shared.dat, который после запуска осуществляет проверку операционной системы (0 для Windows, 1 для macOS и 2 для Linux) и устанавливает контакт с удалённым сервером для получения дополнительных инструкций.
Сюда входит сбор информации о системе, выполнение команд, загрузка и исполнение файлов на машине жертвы, а также завершение работы.
На устройствах под управлением macOS содержимое в Base64-кодировке, полученное с сервера, записывается в файл с именем /Users/Shared/AppleAccount.tgz, который впоследствии распаковывается и запускается как приложение /Users/Shared/TempUser/AppleAccountAssistant.app.
Эта же процедура на хостах Linux проверяет дистрибутив операционной системы путём сканирования файла /etc/os-release. Затем выполняется запись кода на языке C во временный файл tmp.c, который компилируется в файл /tmp/.ICE-unix/git с помощью команды cc на Fedora и gcc на Debian.
По словам представителей Bitdefender, среди образцов также был обнаружен «более мощный бэкдор» – файл под названием sh.py, который обладает широким набором возможностей для сбора метаданных системы, создания перечня файлов, удаления файлов, выполнения команд и открытия файлов, а также пакетной эксфильтрации закодированных данных.
Третий компонент — двоичный файл FAT под названием xcc, написанный на языке Swift и предназначенный для macOS Monterey (версия 12) и новее. Файл содержит два файла Mach-O для двух архитектур процессоров – x86 Intel и ARM M1.
«Его основная цель, по-видимому, заключается в проверке разрешений перед использованием потенциального компонента шпионского ПО (вероятно, для захвата экрана), но не включает сам компонент шпионского ПО», – рассказали исследователи.
«Это наводит на мысль, что эти файлы являются частью более сложной атаки, и что несколько файлов отсутствовали в системе, которую мы исследовали».
Шпионские связи с xcc обусловлены путём, указанным в содержимом файла /Users/joker/Downloads/Spy/XProtectCheck/ и тем фактом, что он проверяет такие разрешения, как доступ к диску, запись экрана и «Универсальный доступ».
***
Информация о том, кто стоит за этой деятельностью, пока не установлена. В настоящее время также неясно, как был получен первичный доступ к заражённой машине, и включает ли он элемент социальной инженерии.
Раскрытие информации произошло чуть более двух недель спустя после того, как российская компания по кибербезопасности «Лаборатория Касперского» рассказала о множестве iOS-устройств, которые стали объектами атак в рамках сложной и длительной мобильной кампании под названием «Операция Триангуляция», начавшейся в 2019 году.
Ещё по теме: