Pesquisadores de cibersegurança descobriram um conjunto de artefatos maliciosos que fazem parte de um kit sofisticado de ataque a sistemas Apple macOS.
"Até agora, essas amostras ainda são amplamente indetectáveis e muito pouca informação está disponível sobre qualquer uma delas", afirmam os pesquisadores da Bitdefender, Andrei Lapusneanu e Bogdan Botezatu, em um relatório preliminar publicado na sexta-feira.
A análise da empresa romena é baseada no exame de quatro amostras que foram enviadas ao VirusTotal por uma vítima não identificada.
A amostra mais antiga remonta a 18 de abril de 2023.
Dois dos três programas maliciosos são backdoors genéricos baseados em Python, projetados para atacar sistemas Windows, Linux e macOS.
Os payloads foram coletivamente chamados de JokerSpy.
O primeiro constituinte é o shared.dat, que, uma vez lançado, executa uma verificação do sistema operacional (0 para Windows, 1 para macOS e 2 para Linux) e estabelece contato com um servidor remoto para buscar instruções adicionais para execução.
Isso inclui coletar informações do sistema, executar comandos, baixar e executar arquivos na máquina da vítima e encerrar a si mesmo.
Em dispositivos executando o macOS, o conteúdo codificado em Base64 recuperado do servidor é escrito em um arquivo nomeado "/Users/Shared/AppleAccount tgz", que é posteriormente descompactado e lançado como o aplicativo "/Users/Shared/TempUser/AppleAccountAssistant app".
A mesma rotina, em hosts Linux, valida a distribuição do sistema operacional verificando o arquivo "/etc/os-release".
Em seguida, ele continua escrevendo o código C em um arquivo temporário "tmp.c", que é compilado em um arquivo chamado "/tmp/.ICE-unix/git" usando o comando cc no Fedora e gcc no Debian.
A Bitdefender afirmou que também encontrou um "backdoor mais potente" entre as amostras, um arquivo rotulado como "sh.py" que vem com um conjunto extenso de capacidades para coletar metadados do sistema, enumerar arquivos, excluir arquivos, executar comandos e arquivos e exfiltrar dados codificados em lotes.
O terceiro componente é um binário FAT conhecido como xcc, escrito em Swift e direcionado ao macOS Monterey (versão 12) e mais recentes.
O arquivo abriga dois arquivos Mach-O para as arquiteturas de CPU gêmeas, x86 Intel e ARM M1.
"Seu objetivo principal é aparentemente verificar permissões antes de usar um componente potencial de spyware (provavelmente para capturar a tela), mas não inclui o componente spyware em si", afirmam os pesquisadores.
A conexão de spyware do xcc decorre de um caminho identificado dentro do conteúdo do arquivo, "/Users/joker/Downloads/Spy/XProtectCheck/" e do fato de que ele verifica permissões como Acesso ao disco, Gravação de tela e Acessibilidade.
A identidade dos atores da ameaça por trás da atividade ainda é desconhecida.
Atualmente, também não está claro como o acesso inicial é obtido e se envolve um elemento de engenharia social ou spear-phishing.
A divulgação vem pouco mais de duas semanas depois que a empresa de cibersegurança russa Kaspersky divulgou que dispositivos iOS foram alvo de uma campanha móvel sofisticada e de longa duração chamada Operação Triangulação, que começou em 2019.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...