Специалисты Bitdefender обнаружили набор вредоносных артефактов, которые, по их словам, являются частью сложного кроссплатформенного инструментария, в том числе нацеленного на устройства, работающие под управлением macOS.
Анализ исследователей строится на изучении нескольких образцов малвари, которые были загружены на VirusTotal неназванной жертвой. Самый ранний образец датирован 18 апреля 2023 года. Отмечается, что на данный момент эти образцы по-прежнему плохо обнаруживаются защитными решениями и «о любом из них доступно очень мало информации».
Два из обнаруженных вредоносов представляют простые собой бэкдоры, написанные на Python и предназначенные для атак на Windows, Linux и macOS. Эти полезные нагрузки получили в отчете Bitdefender общее название JokerSpy.
Первый вредонос — файл shared.dat, который после запуска проводит проверку операционной системы (0 для Windows, 1 для macOS и 2 для Linux) и устанавливает контакт с сервером злоумышленников для получения дополнительных инструкций. Среди них могут быть: сбор информации о системе, выполнение команд, загрузка и выполнение файлов на машине жертвы, а также завершение работы.
На устройствах под управлением macOS полученный с сервера контент, закодированный с помощью Base64, записывается в файл /Users/Shared/AppleAccount.tgz, который впоследствии распаковывается и запускается как приложение /Users/Shared/TempUser/AppleAccountAssistant.app.
На Linux-хостах процесс практически аналогичен: малварь проверяет дистрибутив обращаясь к файлу /etc/os-release, а затем записывает код на языке C во временный файл tmp.c, который компилируется в файл /tmp/.ICE-unix/git с помощью команды cc на Fedora и gcc на Debian.
Эксперты пишут, что среди образцов также был обнаружен и «более мощный бэкдор» — файл sh.py, который обладает обширным набором возможностей для сбора метаданных системы, поиска и удаления файлов, выполнения полученных от операторов команд и файлов, а также хищения данных.
Еще один вредонос — FAT-бинарник под названием «xcc», написанный на Swift и предназначенный для macOS Monterey (версии 12) и новее. Файл содержит два файла Mach-O для двух архитектур x86 Intel и ARM M1.
«Его основное предназначение, очевидно, заключается в проверке разрешений перед использованием потенциально шпионского компонента (вероятно, для захвата экрана), но сам шпионский компонент в него не включен, — пишут исследователи. — Это навело нас на мысль, что эти файлы являются частью более сложной атаки, а в исследуемой нами системе отсутствует ряд файлов».
Эксперты полагают, что xcc связан с неким шпионским ПО, основываясь на пути /Users/joker/Downloads/Spy/XProtectCheck/, который был замечен в содержимом файла, а также в связи с тем, что он проверяет такие разрешения как Disk Access, Screen Recording и Accessibility.
Пока неясно, кто именно стоит за обнаруженными вредоносами, так как неизвестен даже вектор первоначального заражения. Предполагается, что здесь, скорее всего, применялась социальная инженерия или направленный фишинг.