Կիբերանվտանգության ոլորտի փորձագետները հայտնաբերել են մի շարք վնասակար artifact-ներ, որոնք հանդիսանում են Apple macOS համակարգերի բարդ գործիքակազմի մի մասը:
«Ներկա պահին այս նմուշները դեռևս չբացահայտված են», – ուրբաթ օրը հրապարակված զեկույցում նշում են Bitdefender-ի հետազոտողներ՝ Անդրեյ Լապուսնեանուն և Բոգդան Բոտեզատուն:
Ռումինական ֆիրմայի կողմից իրականացված վերլուծությունը հիմնված է չորս հիմնական ուղղությունների վրա, որոնք վերբեռնվել են VirusTotal-ում՝ անանուն օգտատիրոջ կողմից:
Երեք malware-ներից երկուսը Python-based backdoor-եր են, որոնք նախատեսված են՝ Windows, Linux և macOS համակարգերը թիրախավորելու և վնասելու համար: Payload-երն անվանվել են JokerSpy.
MacOS-ով աշխատող սարքերում, սերվերից վերցված Base64-encoded բովանդակությունը գրվում է «/Users/Shared/AppleAccount.tgz» ֆայլում, որը հետագայում ակտիվացվում է և գործարկվում որպես՝ «/Users/Shared/TempUser/AppleAccountAssistant» հավելված:
Նույն հաջողությամբ, Linux-ի հոսթերում վավերացվում է օպերացիոն համակարգի բաշխումը` ստուգելով «/etc/os-release» ֆայլը: Այնուհետև «tmp.c» ժամանակավոր ֆայլում այն գրում է C կոդը, որը ձևավորվում է «/tmp/.ICE-unix/git» ֆայլում: cc հրամանը կիրառվում է Fedora-ում, իսկ gcc հրամանը՝ Debian-ում:
Երրորդ բաղադրիչը FAT binary-ն է, որը հայտնի է որպես xcc: Այն գրված է Swift-ով և ուղղված է macOS Monterey-ին:
xcc-ի spyware ծրագրերի միացումները բխում են ֆայլի բովանդակության մեջ հայտնաբերված՝ «/Users/joker/Downloads/Spy/XProtectCheck/»-ից և հետևյալ ստուգումներից՝ Disk Access, Screen Recording և Accessibility:
Արշավի հետևում կանգնած հաքերի ինքնությունը դեռևս հայտնի չէ: Ներկայումս պարզ չէ նաև, թե ինչպե՞ս է ստացվում հաքերի նախնական մուտքը դեպի համակարգ, և արդյո՞ք այն ներառում է spear-phishing:
Աղբյուրը՝ https://thehackernews.com/