Un sofisticato toolkit di attacco per i sistemi Apple macOS è stato scoperto dai ricercatori di cybersecurity. Questi campioni malevoli sono ancora in gran parte non rilevati e ci sono poche informazioni disponibili su di loro.
Analisi dei campioni malevoli
L’analisi della società rumena Bitdefender si basa sull’esame di quattro campioni che sono stati caricati su VirusTotal da una vittima anonima. Il campione più vecchio risale al 18 aprile 2023. Due dei tre programmi malevoli sono backdoor basate su Python progettate per colpire i sistemi Windows, Linux e macOS. I payload sono stati collettivamente soprannominati JokerSpy.
Funzionamento del toolkit di attacco
Il primo componente, shared.dat, una volta lanciato, esegue un controllo del sistema operativo (0 per Windows, 1 per macOS e 2 per Linux) e stabilisce un contatto con un server remoto per ottenere ulteriori istruzioni per l’esecuzione. Questo include la raccolta di informazioni sul sistema, l’esecuzione di comandi, il download e l’esecuzione di file sulla macchina vittima e l’autoterminazione.
Backdoor più potente tra i campioni
Bitdefender ha anche scoperto una “backdoor più potente” tra i campioni, un file denominato “sh.py” che dispone di un ampio set di capacità per raccogliere metadati del sistema, enumerare file, cancellare file, eseguire comandi e file, ed esfiltrare dati codificati in batch.
Terzo componente del toolkit di attacco
Il terzo componente è un binario FAT noto come xcc scritto in Swift e mirato a macOS Monterey (versione 12) e versioni successive. Il file contiene due file Mach-O per le due architetture CPU, x86 Intel e ARM M1.