Търсене
Close this search box.

Нов усъвършенстван набор от инструменти, насочен към системите Apple macOS

Изследователи в областта на киберсигурността са открили набор от злонамерени артефакти, които според тях са част от сложен набор от инструменти, насочени към системите Apple macOS.

„Към момента тези образци все още са до голяма степен неоткрити и за всеки от тях има много малко информация“, казват изследователите на Bitdefender Андрей Лапушняну и Богдан Ботезату в предварителен доклад, публикуван в петък.

Анализът на румънската фирма се основава на изследване на четири проби, които са били качени във VirusTotal от неназована жертва. Най-ранната проба датира от 18 април 2023 г.

Твърди се, че две от трите злонамерени програми са общи задни врати, базирани на Python, които са предназначени за атакуване на системи с Windows, Linux и macOS. Полезните товари са наречени колективно JokerSpy.

Първата съставна част е shared.dat, която, след като бъде стартирана, изпълнява проверка на операционната система (0 за Windows, 1 за macOS и 2 за Linux) и установява контакт с отдалечен сървър, за да изтегли допълнителни инструкции за изпълнение.
Това включва събиране на системна информация, изпълнение на команди, изтегляне и изпълнение на файлове на машината на жертвата и самозавършване.

На устройствата с операционна система macOS извлеченото от сървъра Base64-енкодирано съдържание се записва във файл с име „/Users/Shared/AppleAccount.tgz“, който впоследствие се разопакова и стартира като приложението „/Users/Shared/TempUser/AppleAccountAssistant.app“.

Същата процедура при хостовете с Linux потвърждава дистрибуцията на операционната система, като проверява файла „/etc/os-release“. След това се пристъпва към запис на код на C във временен файл „tmp.c“, който се компилира във файл, наречен „/tmp/.ICE-unix/git“, като се използва командата cc във Fedora и gcc в Debian.

Bitdefender заяви, че е открил и „по-мощна задна врата“ сред образците – файл, обозначен като „sh.py“, който идва с широк набор от възможности за събиране на системни метаданни, изброяване на файлове, изтриване на файлове, изпълнение на команди и файлове и екфилтриране на кодирани данни в партиди.

Третият компонент е двоичен файл FAT, известен като xcc, който е написан на Swift и е насочен към macOS Monterey (версия 12) и по-нови версии. Файлът съдържа два файла Mach-O за архитектурите на процесорите близнаци – x86 Intel и ARM M1.

„Основната му цел очевидно е да проверява разрешенията преди използването на потенциален шпионски компонент (вероятно за заснемане на екрана), но не включва самия шпионски компонент“, казват изследователите.

„Това ни кара да смятаме, че тези файлове са част от по-сложна атака и че в системата, която разследвахме, липсват няколко файла.“

Връзките на xcc с шпионския софтуер произтичат от пътя, идентифициран в съдържанието на файла: „/Users/joker/Downloads/Spy/XProtectCheck/“, и от факта, че той проверява за разрешения като „Достъп до диска“, „Запис на екрана“ и „Достъпност“.

Самоличността на хакерите, които стоят зад тази дейност, все още не е известна. Към момента не е ясно и как се получава първоначалният достъп и дали той включва елемент на социално инженерство или spear-phishing.

Разкритието идва малко повече от две седмици, след като руската компания за киберсигурност Kaspersky разкри, че устройствата с iOS са били обект на атаки като част от сложна и продължителна мобилна кампания, наречена Операция „Триангулация“, която е започнала през 2019 г.

Източник: The Hacker News

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
Бъдете социални
Още по темата
28/02/2024

Новата версия на IDAT loade...

Хакерска група, проследена като „UAC-0184“, е...
25/02/2024

Apple добавя PQ3 квантовоус...

Apple добавя към услугата за незабавни...
22/02/2024

XSS бъгове в Joomla отварят...

Системата за управление на съдържание (CMS)...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!