Les chercheurs en cybersécurité ont découvert un ensemble d’artefacts malveillants qui, selon eux, font partie d’une boîte à outils sophistiquée ciblant les systèmes Apple macOS.
« Pour l’instant, ces échantillons sont encore largement non détectés et très peu d’informations sont disponibles sur l’un d’entre eux », ont déclaré les chercheurs de Bitdefender Andrei Lapusneanu et Bogdan Botezatu. a dit dans un rapport préliminaire publié vendredi.
L’analyse de la firme roumaine est basée sur un examen de quatre échantillons qui ont été téléchargés sur VirusTotal par une victime anonyme. Le premier échantillon remonte au 18 avril 2023.
Deux des trois programmes malveillants seraient des portes dérobées génériques basées sur Python conçues pour cibler les systèmes Windows, Linux et macOS. Les charges utiles ont été collectivement surnommées JokerEspion.
Le premier constituant est shared.dat, qui, une fois lancé, exécute une vérification du système d’exploitation (0 pour Windows, 1 pour macOS et 2 pour Linux) et établit un contact avec un serveur distant pour récupérer des instructions supplémentaires à exécuter.
Cela inclut la collecte d’informations système, l’exécution de commandes, le téléchargement et l’exécution de fichiers sur la machine victime et l’arrêt de l’ordinateur.
Sur les appareils exécutant macOS, le contenu encodé en Base64 récupéré du serveur est écrit dans un fichier nommé « /Users/Shared/AppleAccount.tgz » qui est ensuite décompressé et lancé en tant qu’application « /Users/Shared/TempUser/AppleAccountAssistant.app ».
La même routine, sur les hôtes Linux, valide la distribution du système d’exploitation en cochant le « /etc/os-release« . Il procède ensuite à l’écriture de code C dans un fichier temporaire « tmp.c », qui est compilé dans un fichier appelé « /tmp/.ICE-unix/git » à l’aide de la commande cc sur Fedora et gcc sur Debian.
Bitdefender a déclaré avoir également trouvé une « porte dérobée plus puissante » parmi les échantillons, un fichier intitulé « sh.py » qui est livré avec un ensemble complet de fonctionnalités pour collecter les métadonnées du système, énumérer les fichiers, supprimer des fichiers, exécuter des commandes et des fichiers et exfiltrer encodé données par lots.
Le troisième composant est un binaire FAT connu sous le nom de xcc qui est écrit en Swift et cible macOS Monterey (version 12) et plus récent. Le fichier contient deux fichiers Mach-O pour les architectures de processeurs jumeaux, x86 Intel et ARM M1.
« Son objectif principal est apparemment de vérifier les autorisations avant d’utiliser un composant logiciel espion potentiel (probablement pour capturer l’écran) mais n’inclut pas le composant logiciel espion lui-même », ont déclaré les chercheurs.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
« Cela nous porte à croire que ces fichiers font partie d’une attaque plus complexe et que plusieurs fichiers sont absents du système sur lequel nous avons enquêté. »
Les connexions aux logiciels espions de xcc proviennent d’un chemin identifié dans le contenu du fichier, « /Users/joker/Downloads/Spy/XProtectCheck/ » et du fait qu’il vérifie les autorisations telles que l’accès au disque, l’enregistrement d’écran et l’accessibilité.
L’identité des acteurs de la menace à l’origine de l’activité est encore inconnue. On ne sait pas non plus actuellement comment l’accès initial est obtenu et s’il implique un élément d’ingénierie sociale ou de harponnage.
La divulgation intervient un peu plus de deux semaines après que la société russe de cybersécurité Kaspersky a révélé que les appareils iOS avaient été ciblés dans le cadre d’une campagne mobile sophistiquée et de longue durée baptisée Opération Triangulation qui a débuté en 2019.