Los investigadores de seguridad cibernética han descubierto un conjunto de artefactos maliciosos que, según dicen, es parte de un sofisticado conjunto de herramientas dirigido a los sistemas Apple macOS.
«Hasta ahora, estas muestras aún no se han detectado en gran medida y hay muy poca información disponible sobre cualquiera de ellas», dijeron los investigadores de Bitdefender, Andrei Lapusneanu y Bogdan Botezatu. dicho en un informe preliminar publicado el viernes.
El análisis de la empresa rumana se basa en un examen de cuatro muestras que una víctima anónima subió a VirusTotal. La muestra más antigua data del 18 de abril de 2023.
Se dice que dos de los tres programas maliciosos son puertas traseras genéricas basadas en Python que están diseñadas para atacar los sistemas Windows, Linux y macOS. Las cargas útiles han sido denominadas colectivamente JokerEspía.
El primer componente es shared.dat, que, una vez iniciado, ejecuta una verificación del sistema operativo (0 para Windows, 1 para macOS y 2 para Linux) y establece contacto con un servidor remoto para obtener instrucciones adicionales para la ejecución.
Esto incluye recopilar información del sistema, ejecutar comandos, descargar y ejecutar archivos en la máquina de la víctima y terminarse.
En los dispositivos que ejecutan macOS, el contenido codificado en Base64 recuperado del servidor se escribe en un archivo llamado «/Users/Shared/AppleAccount.tgz» que luego se desempaqueta y se inicia como la aplicación «/Users/Shared/TempUser/AppleAccountAssistant.app».
La misma rutina, en hosts Linux, valida la distribución del sistema operativo al verificar el «/etc/os-release«. Luego procede a escribir código C en un archivo temporal «tmp.c», que se compila en un archivo llamado «/tmp/.ICE-unix/git» usando el comando cc en Fedora y gcc en Debian.
Bitdefender dijo que también encontró una «puerta trasera más potente» entre las muestras, un archivo etiquetado como «sh.py» que viene con un amplio conjunto de capacidades para recopilar metadatos del sistema, enumerar archivos, eliminar archivos, ejecutar comandos y archivos, y filtrar archivos codificados. datos en lotes.
El tercer componente es un binario FAT conocido como xcc que está escrito en Swift y apunta a macOS Monterey (versión 12) y posteriores. El archivo alberga dos archivos Mach-O para las arquitecturas de CPU gemelas, x86 Intel y ARM M1.
«Aparentemente, su propósito principal es verificar los permisos antes de usar un posible componente de spyware (probablemente para capturar la pantalla), pero no incluye el componente de spyware en sí», dijeron los investigadores.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
«Esto nos lleva a creer que estos archivos son parte de un ataque más complejo y que faltan varios archivos en el sistema que investigamos».
Las conexiones de spyware de xcc provienen de una ruta identificada dentro del contenido del archivo, «/Users/joker/Downloads/Spy/XProtectCheck/» y el hecho de que verifica permisos como Acceso al disco, Grabación de pantalla y Accesibilidad.
La identidad de los actores de amenazas detrás de la actividad aún se desconoce. Actualmente tampoco está claro cómo se obtiene el acceso inicial y si implica un elemento de ingeniería social o phishing.
La divulgación se produce poco más de dos semanas después de que la empresa rusa de ciberseguridad Kaspersky revelara que los dispositivos iOS han sido atacados como parte de una campaña móvil sofisticada y de larga duración denominada Operación Triangulación que comenzó en 2019.