Специалисты Bitdefender обнаружили набор вредоносных программ, которые являются частью сложного инструментария, нацеленного на системы Apple macOS.
«На данный момент эти образцы почти не обнаруживаются и о них доступно очень мало информации», — заявили исследователи компании.
Специалисты обнаружили и проанализировали четыре разных образца вредоносного ПО, которые были загружены на VirusTotal неизвестной жертвой. Загрузка самого первого образца датируется 18 апреля этого года, пишут в Securitylab.
Часть найденных образцов является обычными бэкдорами на основе Python, предназначенных для атаки на системы Windows, Linux и macOS. Полезные нагрузки вредоносов получили общее название JokerSpy. Рассмотрим же подробнее вариацию вредоноса под macOS.
Первый компонент зловредного ПО имеет название «shared.dat». После запуска он проверяет операционную систему и устанавливает связь с удалённым сервером для получения корректной версии полезной нагрузки, а также дополнительных инструкций по выполнению.
На устройствах с macOS содержимое в кодировке Base64, полученное с сервера, записывается в файл с именем «/Users/Shared/AppleAccount.tgz», который затем распаковывается и запускается как приложение «/Users/Shared/TempUser/AppleAccountAssistant.app».
Второй компонент представляет собой мощный бэкдор, файл с меткой «sh.py». Он имеет обширный набор возможностей для сбора метаданных системы, перечисления, эксфильтрации и удаления файлов, а также выполнения произвольных команд.
Третий компонент — это двоичный файл «xcc.fat», написанный на Swift и нацеленный на macOS Monterey (версия 12) и новее. Файл содержит два файла Mach-O для двух архитектур процессора: x86 Intel и ARM M1. Основная цель компонента, по-видимому, просто проверить необходимые разрешения перед включением непосредственно шпионского компонента.
«Эти файлы, вероятно, являются частью более сложной атаки. А на системе, которую мы исследовали, похоже, отсутствует несколько важных файлов, чтобы определить полную картину атаки».
Связь «xcc» со шпионским ПО вытекает из пути, идентифицированного в содержимом файла, «/Users/joker/Downloads/Spy/XProtectCheck/» и того факта, что он проверяет наличие таких разрешений, как доступ к диску, запись экрана и доступность.
Личность злоумышленников, стоящих за этой вредоносной операцией, пока неизвестна. В настоящее время также неясно, как получен первоначальный доступ и включает ли он элементы социальной инженерии или специализированной фишинговой рассылки.
Так как вредоносный инструментарий плохо обнаруживается антивирусными решениями, пользователям macOS рекомендуется быть бдительными и не скачивать подозрительные приложения из неофициальных источников.