Изследователи в областта на киберсигурността са открили набор от злонамерени артефакти, които според тях са част от сложен набор от инструменти, насочени към системите Apple macOS.

„Към момента тези образци все още са до голяма степен неоткрити и за всеки от тях има много малко информация“, казват изследователите на Bitdefender Андрей Лапушняну и Богдан Ботезату в предварителен доклад, публикуван в петък.

Анализът на румънската фирма се основава на изследване на четири проби, които са били качени във VirusTotal от неназована жертва. Най-ранната проба датира от 18 април 2023 г.

Твърди се, че две от трите злонамерени програми са общи задни врати, базирани на Python, които са предназначени за атакуване на системи с Windows, Linux и macOS. Полезните товари са наречени колективно JokerSpy.

Първата съставна част е shared.dat, която, след като бъде стартирана, изпълнява проверка на операционната система (0 за Windows, 1 за macOS и 2 за Linux) и установява контакт с отдалечен сървър, за да изтегли допълнителни инструкции за изпълнение.
Това включва събиране на системна информация, изпълнение на команди, изтегляне и изпълнение на файлове на машината на жертвата и самозавършване.

На устройствата с операционна система macOS извлеченото от сървъра Base64-енкодирано съдържание се записва във файл с име „/Users/Shared/AppleAccount.tgz“, който впоследствие се разопакова и стартира като приложението „/Users/Shared/TempUser/AppleAccountAssistant.app“.

Същата процедура при хостовете с Linux потвърждава дистрибуцията на операционната система, като проверява файла „/etc/os-release“. След това се пристъпва към запис на код на C във временен файл „tmp.c“, който се компилира във файл, наречен „/tmp/.ICE-unix/git“, като се използва командата cc във Fedora и gcc в Debian.

Bitdefender заяви, че е открил и „по-мощна задна врата“ сред образците – файл, обозначен като „sh.py“, който идва с широк набор от възможности за събиране на системни метаданни, изброяване на файлове, изтриване на файлове, изпълнение на команди и файлове и екфилтриране на кодирани данни в партиди.

Третият компонент е двоичен файл FAT, известен като xcc, който е написан на Swift и е насочен към macOS Monterey (версия 12) и по-нови версии. Файлът съдържа два файла Mach-O за архитектурите на процесорите близнаци – x86 Intel и ARM M1.

„Основната му цел очевидно е да проверява разрешенията преди използването на потенциален шпионски компонент (вероятно за заснемане на екрана), но не включва самия шпионски компонент“, казват изследователите.

„Това ни кара да смятаме, че тези файлове са част от по-сложна атака и че в системата, която разследвахме, липсват няколко файла.“

Връзките на xcc с шпионския софтуер произтичат от пътя, идентифициран в съдържанието на файла: „/Users/joker/Downloads/Spy/XProtectCheck/“, и от факта, че той проверява за разрешения като „Достъп до диска“, „Запис на екрана“ и „Достъпност“.

Самоличността на хакерите, които стоят зад тази дейност, все още не е известна. Към момента не е ясно и как се получава първоначалният достъп и дали той включва елемент на социално инженерство или spear-phishing.

Разкритието идва малко повече от две седмици, след като руската компания за киберсигурност Kaspersky разкри, че устройствата с iOS са били обект на атаки като част от сложна и продължителна мобилна кампания, наречена Операция „Триангулация“, която е започнала през 2019 г.