JokerSpy – новая шпионская угроза для систем Apple macOS

Специалисты Bitdefender обнаружилинабор вредоносных программ, которые являются частью сложного инструментария, нацеленного на системы Apple macOS.

“На данный момент эти образцы почти не обнаруживаются и о них доступно очень мало информации”, – заявили исследователи компании.

Специалисты обнаружили и проанализировали четыре разных образца вредоносного ПО, которые были загружены на VirusTotal неизвестной жертвой. Загрузка самого первого образца датируется 18 апреля этого года.

Часть найденных образцов является обычными бэкдорами на основе Python, предназначенных для атаки на системы Windows, Linux и macOS. Полезные нагрузки вредоносов получили общее название JokerSpy. Рассмотрим же подробнее вариацию вредоноса под macOS.

Первый компонент зловредного ПО имеет название “shared.dat”. После запуска он проверяет операционную систему и устанавливает связь с удалённым сервером для получения корректной версии полезной нагрузки, а также дополнительных инструкций по выполнению.

На устройствах с macOS содержимое в кодировке Base64, полученное с сервера, записывается в файл с именем “/Users/Shared/AppleAccount.tgz”, который затем распаковывается и запускается как приложение “/Users/Shared/TempUser/AppleAccountAssistant.app”.

Второй компонент представляет собой мощный бэкдор, файл с меткой “sh.py”. Он имеет обширный набор возможностей для сбора метаданных системы, перечисления, эксфильтрации и удаления файлов, а также выполнения произвольных команд.

Третий компонент – это двоичный файл “xcc.fat”, написанный на Swift и нацеленный на macOS Monterey (версия 12) и новее. Файл содержит два файла Mach-O для двух архитектур процессора: x86 Intel и ARM M1. Основная цель компонента, по-видимому, просто проверить необходимые разрешения перед включением непосредственно шпионского компонента.

“Эти файлы, вероятно, являются частью более сложной атаки. А на системе, которую мы исследовали, похоже, отсутствует несколько важных файлов, чтобы определить полную картину атаки”.

Связь “xcc” со шпионским ПО вытекает из пути, идентифицированного в содержимом файла, “/Users/joker/Downloads/Spy/XProtectCheck/” и того факта, что он проверяет наличие таких разрешений, как доступ к диску, запись экрана и доступность.

Личность злоумышленников, стоящих за этой вредоносной операцией, пока неизвестна. В настоящее время также неясно, как получен первоначальный доступ и включает ли он элементы социальной инженерии или специализированной фишинговой рассылки.

Так как вредоносный инструментарий плохо обнаруживается антивирусными решениями, пользователям macOS рекомендуется быть бдительными и не скачивать подозрительные приложения из неофициальных источников.

Public Release.