Изследователи в областта на киберсигурността са открили набор от злонамерени артефакти, които според тях са част от сложен набор от инструменти, насочени към системите Apple macOS.

„Към момента тези образци все още са до голяма степен неоткрити и за всеки от тях има много малко информация“, казват изследователите на Bitdefender Андрей Лапушняну и Богдан Ботезату в предварителен доклад, публикуван в петък.

Анализът на румънската фирма се основава на изследване на четири проби, които са били качени във VirusTotal от неназована жертва. Най-ранната проба датира от 18 април 2023 г.

Твърди се, че две от трите злонамерени програми са общи задни врати, базирани на Python, които са предназначени за атакуване на системи с Windows, Linux и macOS. Полезните товари са наречени колективно JokerSpy.

Първата съставна част е shared.dat, която, след като бъде стартирана, изпълнява проверка на операционната система (0 за Windows, 1 за macOS и 2 за Linux) и установява контакт с отдалечен сървър, за да изтегли допълнителни инструкции за изпълнение.
Това включва събиране на системна информация, изпълнение на команди, изтегляне и изпълнение на файлове на машината на жертвата и самозавършване.

На устройствата с операционна система macOS извлеченото от сървъра Base64-енкодирано съдържание се записва във файл с име „/Users/Shared/AppleAccount.tgz“, който впоследствие се разопакова и стартира като приложението „/Users/Shared/TempUser/AppleAccountAssistant.app“.

Същата процедура при хостовете с Linux потвърждава дистрибуцията на операционната система, като проверява файла „/etc/os-release“. След това се пристъпва към запис на код на C във временен файл „tmp.c“, който се компилира във файл, наречен „/tmp/.ICE-unix/git“, като се използва командата cc във Fedora и gcc в Debian.

Bitdefender заяви, че е открил и „по-мощна задна врата“ сред образците – файл, обозначен като „sh.py“, който идва с широк набор от възможности за събиране на системни метаданни, изброяване на файлове, изтриване на файлове, изпълнение на команди и файлове и екфилтриране на кодирани данни в партиди.

Третият компонент е двоичен файл FAT, известен като xcc, който е написан на Swift и е насочен към macOS Monterey (версия 12) и по-нови версии. Файлът съдържа два файла Mach-O за архитектурите на процесорите близнаци – x86 Intel и ARM M1.

„Основната му цел очевидно е да проверява разрешенията преди използването на потенциален шпионски компонент (вероятно за заснемане на екрана), но не включва самия шпионски компонент“, казват изследователите.

„Това ни кара да смятаме, че тези файлове са част от по-сложна атака и че в системата, която разследвахме, липсват няколко файла.“

Връзките на xcc с шпионския софтуер произтичат от пътя, идентифициран в съдържанието на файла: „/Users/joker/Downloads/Spy/XProtectCheck/“, и от факта, че той проверява за разрешения като „Достъп до диска“, „Запис на екрана“ и „Достъпност“.

Самоличността на хакерите, които стоят зад тази дейност, все още не е известна. Към момента не е ясно и как се получава първоначалният достъп и дали той включва елемент на социално инженерство или spear-phishing.

Разкритието идва малко повече от две седмици, след като руската компания за киберсигурност Kaspersky разкри, че устройствата с iOS са били обект на атаки като част от сложна и продължителна мобилна кампания, наречена Операция „Триангулация“, която е започнала през 2019 г.

Източник: The Hacker News

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
Бъдете социални
Още по темата
16/02/2025

FinalDraft злоупотребява с ...

Нов зловреден софтуер, наречен FinalDraft, е...
11/02/2025

Apple: USB Restricted Mode ...

Екипът за реагиране на сигурността на...
05/02/2025

Ferret Malware е добавен къ...

В нова кръпка за своя инструмент...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!