Uma bolsa de criptomoedas desconhecida localizada no Japão foi alvo de um novo ataque no início deste mês para implantar um backdoor Apple macOS chamado JokerSpy.
O Elastic Security Labs, que monitora o conjunto de intrusões sob o nome REF9134, disse que o ataque levou à instalação do Swiftbelt, uma ferramenta de enumeração baseada em Swift inspirada em uma utilidade de código aberto chamada SeatBelt.
O JokerSky foi documentado pela primeira vez pela Bitdefender na semana passada, descrevendo-o como um conjunto sofisticado projetado para violar máquinas macOS.
Muito pouco se sabe sobre o ator da ameaça por trás da operação, exceto pelo fato de que os ataques aproveitam um conjunto de programas escritos em Python e Swift que possuem a capacidade de coletar dados e executar comandos arbitrários em hosts comprometidos.
Um componente principal do conjunto de ferramentas é um binário multi-arquitetura autoassinado conhecido como xcc, projetado para verificar as permissões FullDiskAccess e ScreenRecording.
O arquivo é assinado como XProtectCheck, indicando uma tentativa de se disfarçar como XProtect, uma tecnologia antivírus integrada no macOS que utiliza regras de detecção baseadas em assinatura para remover malware de hosts já infectados.
No incidente analisado pelo Elastic, a criação de xcc é seguida pelo ator da ameaça "tentando contornar as permissões do TCC criando seu próprio banco de dados TCC e tentando substituir o existente".
"Em 1º de junho, uma nova ferramenta baseada em Python foi vista executando do mesmo diretório que xcc e foi utilizada para executar uma ferramenta de enumeração de pós-exploração macOS de código aberto conhecida como Swiftbelt", disseram os pesquisadores de segurança Colson Wilhoit, Salim Bitam, Seth Goodwin, Andrew Pease e Ricardo Ungureanu.
O ataque visou um grande provedor de serviços de criptomoedas com sede no Japão, focado na troca de ativos para negociação de Bitcoin, Ethereum e outras criptomoedas comuns.
O nome da empresa não foi divulgado.
O binário xcc, por sua vez, é lançado por meio do Bash por três aplicativos diferentes chamados IntelliJ IDEA, iTerm (um emulador de terminal para macOS) e Visual Studio Code, indicando que versões com backdoor de aplicativos de desenvolvimento de software são provavelmente usadas para obter acesso inicial.
Outro módulo notável instalado como parte do ataque é o sh.py, um implante Python usado como conduto para entregar outras ferramentas de pós-exploração como Swiftbelt.
"Ao contrário de outros métodos de enumeração, o Swiftbelt invoca o código Swift para evitar a criação de artefatos de linha de comando", disseram os pesquisadores.
"Notavelmente, as variantes do xcc também são escritas usando Swift."
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...