I ricercatori di sicurezza informatica Bitdefender, durante la loro attività ordinaria di rilevamento, avrebbero scoperto una serie di file malevoli facenti parte di un sofisticato toolkit malware destinato ai sistemi Windows, Linux e macOS.
L’analisi condotta sui campioni rilevati
L’analisi dell’azienda rumena si sarebbe basata sull’esame diversi campioni caricati in modo anonimo su VirusTotal di cui il primo risalente al mese di aprile 2023. I payload sono stati collettivamente soprannominati da Bitdefender come “JokerSpy”.
Due dei tre payload sarebbero delle backdoor generiche basate su Python e progettate per colpire i sistemi Windows, Linux e MacOS, uno sarebbe un binario FAT per MacOS.
La prima backdoor “shared.dat” una volta avviata, eseguirebbe un controllo del sistema operativo (Windows, Mac e Linux) stabilendo un contatto con un server remoto per recuperare ulteriori istruzioni per la raccolta di informazioni di sistema, l’avvio di comandi, il download e l’esecuzione di file sulla macchina target.
Al momento dell’esecuzione, la backdoor entrerebbe in un ciclo while tentando di comunicare con un server remoto tramite pacchetti dati personalizzati. La suddetta backdoor supporterebbe quattro comandi inviati dal server remoto:
- Code 501: Extract basic info, il comando estrae dettagli come “
Current Time,Username,Hostname,OS Version"; - Code 502: CmdExec, funzione utilizzata per eseguire un comando specifico codificato base64;
- Code 503: DownExec, la routine si comporta in modo diverso in base al sistema operativo rilevato e serve a far eseguire file e applicazioni dedicate;
- Code 504: KillSelf, la funzione viene utilizzata esclusivamente per uscire dagli script.
La seconda backdoor etichettata “sh.py” (secondo Bitdefender sarebbe una “backdoor più potente” rispetto alla precedente), presenterebbe un insieme più ampio di funzionalità per eseguire vari comandi, raccogliere metadati di sistema, enumerare ed esfiltrare file.
Anche in questo caso la funzione principale comunica con il server C2 all’interno di un ciclo while eseguendo comandi secondo determinati argomenti.
Infine, il terzo payload (un file xcc) sarebbe invece un binario FAT scritto in Swift e rivolto a MacOS versione 12 e successive, contenente file Mach-O per le architetture CPU 86 Intel e ARM M1.
“Il suo scopo principale è apparentemente quello di controllare le autorizzazioni prima di utilizzare un potenziale componente spyware (probabilmente per catturare screenshot) ma non include il componente spyware stesso.“, è il commento dei ricercatori Andrei LAPUSNEANU e Bogdan BOTEZATU.
Al momento i ricercatori non hanno fornito indicazioni circa l’identità degli attori della minaccia e il metodo di consegna dei payload. Si raccomanda comunque di valutare l’implementazione degli Indicatori di Compromissione (IoC) resi disponibili da Bitdefender sul Blog.
Segue il tasso di rilevamento dei campioni su VirusTotal al momento della stesura del presente articolo.
