I ricercatori di cybersecurity hanno scoperto un insieme di artefatti malevoli che fanno parte di un sofisticato toolkit che prende di mira i sistemi macOS di Apple. “Al momento, questi campioni sono ancora in gran parte non rilevati e sono disponibili pochissime informazioni su ognuno di essi”, hanno affermato i ricercatori di Bitdefender Andrei Lapusneanu e Bogdan Botezatu in un rapporto preliminare pubblicato venerdì.
Analisi dei campioni malevoli
L’analisi della società rumena si basa sull’esame di quattro campioni che sono stati caricati su VirusTotal da una vittima anonima. Il campione più vecchio risale al 18 aprile 2023. Due dei tre programmi malevoli sono detti essere backdoor generiche basate su Python progettate per prendere di mira i sistemi Windows, Linux e macOS. I payload sono stati collettivamente soprannominati JokerSpy.
Funzionamento dei malware
Il primo componente è shared.dat, che, una volta avviato, esegue un controllo del sistema operativo (0 per Windows, 1 per macOS e 2 per Linux) e stabilisce un contatto con un server remoto per ottenere ulteriori istruzioni per l’esecuzione. Questo include la raccolta di informazioni sul sistema, l’esecuzione di comandi, il download e l’esecuzione di file sulla macchina vittima e l’autoterminazione.
Una backdoor più potente
Bitdefender ha affermato di aver trovato un “backdoor più potente” tra i campioni, un file etichettato “sh.py” che dispone di un ampio set di capacità per raccogliere metadati di sistema, enumerare file, eliminare file, eseguire comandi e file, ed esfiltrare dati codificati in lotti.