Un intercambio de criptomonedas desconocido ubicado en Japón fue el objetivo de un nuevo ataque a principios de este mes para implementar una puerta trasera de Apple macOS llamada JokerSpy.
Elastic Security Labs, que está monitoreando el conjunto de intrusiones bajo el nombre REF9134, dicho el ataque condujo a la instalación de Swiftbelt, una herramienta de enumeración basada en Swift inspirada en una utilidad de código abierto llamada Cinturón de seguridad.
Bitdefender documentó por primera vez JokerSky la semana pasada, y lo describió como un conjunto de herramientas sofisticado diseñado para violar las máquinas macOS.
Se sabe muy poco sobre el actor de amenazas detrás de los ataques, aparte del hecho de que los ataques aprovechan un conjunto de programas escritos en Python y Swift que vienen con capacidades para recopilar datos y ejecutar comandos arbitrarios en hosts comprometidos.
Un componente principal del kit de herramientas es un binario de arquitectura múltiple autofirmado conocido como xcc que está diseñado para verificar los permisos de FullDiskAccess y ScreenRecording.
El archivo está firmado como XProtectCheck, lo que indica un intento de hacerse pasar por xprotegeruna tecnología antivirus integrada en macOS que utiliza reglas de detección basadas en firmas para eliminar el malware de hosts ya infectados.
En el incidente analizado por Elastic, la creación de xcc es seguida por el actor de amenazas «intentando eludir los permisos de TCC creando sus propios base de datos TCC y tratando de reemplazar el existente».
«El 1 de junio, se vio una nueva herramienta basada en Python ejecutándose desde el mismo directorio que xcc y se utilizó para ejecutar una herramienta de enumeración posterior a la explotación de macOS de código abierto conocida como Swiftbelt», investigadores de seguridad Colson Wilhoit, Salim Bitam, Seth Goodwin , Andrew Pease y Ricardo Ungureanu dijeron.
El ataque se dirigió a un gran proveedor de servicios de criptomonedas con sede en Japón que se centra en el intercambio de activos para el comercio de Bitcoin, Ethereum y otras criptomonedas comunes. El nombre de la empresa no fue revelado.
El binario xcc, por su parte, se inicia a través de Bash a través de tres aplicaciones diferentes que se denominan IntelliJ IDEA, iTerm (un emulador de terminal para macOS) y Visual Studio Code, lo que indica que es probable que se utilicen versiones con puerta trasera de software de desarrollo de software para obtener acceso inicial.
Otro módulo notable instalado como parte del ataque es sh.py, un implante de Python que se usa como conducto para entregar otras herramientas posteriores a la explotación como Swiftbelt.
«A diferencia de otros métodos de enumeración, Swiftbelt invoca el código Swift para evitar crear artefactos en la línea de comandos», dijeron los investigadores. «Notablemente, las variantes de xcc también se escriben usando Swift».