网络安全研究人员发现了一组恶意工件,他们称这些工件是针对 Apple macOS 系统的复杂工具包的一部分。
Bitdefender 研究人员 Andrei Lapusneanu 和 Bogdan Botezatu在周五发布的一份初步报告中表示:“截至目前,这些样本在很大程度上仍未被发现,关于其中任何一个的可用信息也很少。”
这家罗马尼亚公司的分析基于对由一名未具名受害者上传到 VirusTotal 的四个样本的检查。最早的样本可以追溯到 2023 年 4 月 18 日。
据说这三个恶意程序中的两个是基于 Python 的通用后门,旨在针对 Windows、Linux 和 macOS 系统。这些有效载荷被统称为JokerSpy。
第一个组成部分是 shared.dat,一旦启动,它就会运行操作系统检查(Windows 为 0,macOS 为 1,Linux 为 2)并与远程服务器建立联系以获取额外的执行指令。
这包括收集系统信息、运行命令、在受害机器上*载下**和执行文件以及自行终止。
在运行 macOS 的设备上,从服务器检索到的 Base64 编码内容被写入名为“/Users/Shared/AppleAccount.tgz”的文件,随后解压并作为“/Users/Shared/TempUser/AppleAccountAssistant.app”应用程序启动。
在 Linux 主机上,相同的例程通过检查“ /etc/os-release ”文件来验证操作系统分发。然后它继续将 C 代码写入临时文件“tmp.c”,该文件在 Fedora 上使用 cc 命令,在 Debian 上使用 gcc 编译为名为“/tmp/.ICE-unix/git”的文件。
Bitdefender 表示,它还在样本中发现了一个“更强大的后门”,一个标记为“sh.py”的文件具有广泛的功能集,可以收集系统元数据、枚举文件、删除文件、执行命令和文件,以及泄露编码分批处理数据。
第三个组件是一个名为 xcc 的 FAT 二进制文件,它是用 Swift 编写的,目标是 macOS Monterey(版本 12)和更新版本。该文件包含两个用于双 CPU 架构的 Mach-O 文件,x86 Intel 和 ARM M1。
“它的主要目的显然是在使用潜在的间谍软件组件(可能是捕获屏幕)之前检查权限,但不包括间谍软件组件本身,”研究人员说。
“这让我们相信这些文件是更复杂攻击的一部分,并且我们调查的系统中丢失了几个文件。”
xcc 的间谍软件连接源于文件内容中标识的路径,“/Users/joker/Downloads/Spy/XProtectCheck/”以及它检查磁盘访问、屏幕录制和辅助功能等权限的事实。
该活动背后的黑客组织身份目前尚不清楚,也还不清楚初始访问是如何获得的,以及它是否涉及社会工程或鱼叉式网络钓鱼的相关元素。