Търсене
Close this search box.

Нов усъвършенстван набор от инструменти, насочен към системите Apple macOS

Изследователи в областта на киберсигурността са открили набор от злонамерени артефакти, които според тях са част от сложен набор от инструменти, насочени към системите Apple macOS.

„Към момента тези образци все още са до голяма степен неоткрити и за всеки от тях има много малко информация“, казват изследователите на Bitdefender Андрей Лапушняну и Богдан Ботезату в предварителен доклад, публикуван в петък.

Анализът на румънската фирма се основава на изследване на четири проби, които са били качени във VirusTotal от неназована жертва. Най-ранната проба датира от 18 април 2023 г.

Твърди се, че две от трите злонамерени програми са общи задни врати, базирани на Python, които са предназначени за атакуване на системи с Windows, Linux и macOS. Полезните товари са наречени колективно JokerSpy.

Първата съставна част е shared.dat, която, след като бъде стартирана, изпълнява проверка на операционната система (0 за Windows, 1 за macOS и 2 за Linux) и установява контакт с отдалечен сървър, за да изтегли допълнителни инструкции за изпълнение.
Това включва събиране на системна информация, изпълнение на команди, изтегляне и изпълнение на файлове на машината на жертвата и самозавършване.

На устройствата с операционна система macOS извлеченото от сървъра Base64-енкодирано съдържание се записва във файл с име „/Users/Shared/AppleAccount.tgz“, който впоследствие се разопакова и стартира като приложението „/Users/Shared/TempUser/AppleAccountAssistant.app“.

Същата процедура при хостовете с Linux потвърждава дистрибуцията на операционната система, като проверява файла „/etc/os-release“. След това се пристъпва към запис на код на C във временен файл „tmp.c“, който се компилира във файл, наречен „/tmp/.ICE-unix/git“, като се използва командата cc във Fedora и gcc в Debian.

Bitdefender заяви, че е открил и „по-мощна задна врата“ сред образците – файл, обозначен като „sh.py“, който идва с широк набор от възможности за събиране на системни метаданни, изброяване на файлове, изтриване на файлове, изпълнение на команди и файлове и екфилтриране на кодирани данни в партиди.

Третият компонент е двоичен файл FAT, известен като xcc, който е написан на Swift и е насочен към macOS Monterey (версия 12) и по-нови версии. Файлът съдържа два файла Mach-O за архитектурите на процесорите близнаци – x86 Intel и ARM M1.

„Основната му цел очевидно е да проверява разрешенията преди използването на потенциален шпионски компонент (вероятно за заснемане на екрана), но не включва самия шпионски компонент“, казват изследователите.

„Това ни кара да смятаме, че тези файлове са част от по-сложна атака и че в системата, която разследвахме, липсват няколко файла.“

Връзките на xcc с шпионския софтуер произтичат от пътя, идентифициран в съдържанието на файла: „/Users/joker/Downloads/Spy/XProtectCheck/“, и от факта, че той проверява за разрешения като „Достъп до диска“, „Запис на екрана“ и „Достъпност“.

Самоличността на хакерите, които стоят зад тази дейност, все още не е известна. Към момента не е ясно и как се получава първоначалният достъп и дали той включва елемент на социално инженерство или spear-phishing.

Разкритието идва малко повече от две седмици, след като руската компания за киберсигурност Kaspersky разкри, че устройствата с iOS са били обект на атаки като част от сложна и продължителна мобилна кампания, наречена Операция „Триангулация“, която е започнала през 2019 г.

Източник: The Hacker News

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
Бъдете социални
Още по темата
06/06/2024

Сериозна грешка в Atlassian...

Поради ролята, която Confluence Server играе...
01/06/2024

Приложение за генериране на...

Gipy – новооткрита кампания, използваща щам...
27/05/2024

Недостатък в Replicate AI и...

Изследователи в областта на киберсигурността са...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!