Ngày 19 tháng 6 năm 2023Ravie Lakshmanan Bảo mật điểm cuối / Hacking
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một tập hợp các tạo phẩm độc hại mà họ nói là một phần của bộ công cụ tinh vi nhắm vào các hệ thống macOS của Apple.
Các nhà nghiên cứu của Bitdefender, Andrei Lapusneanu và Bogdan Botezatu, cho biết trong một báo cáo sơ bộ được công bố vào thứ Sáu: “Tính đến thời điểm hiện tại, những mẫu này phần lớn vẫn chưa được phát hiện và có rất ít thông tin về bất kỳ mẫu nào trong số chúng”.
Phân tích của công ty Rumani dựa trên việc kiểm tra bốn mẫu được một nạn nhân giấu tên tải lên VirusTotal. Mẫu sớm nhất có từ ngày 18 tháng 4 năm 2023.
Hai trong số ba chương trình độc hại được cho là các cửa hậu dựa trên Python chung được thiết kế để nhắm mục tiêu vào các hệ thống Windows, Linux và macOS. Các trọng tải đã được đặt tên chung JokerĐiệp Viên.
Thành phần đầu tiên là shared.dat, sau khi được khởi chạy, sẽ chạy kiểm tra hệ điều hành (0 cho Windows, 1 cho macOS và 2 cho Linux) và thiết lập liên hệ với máy chủ từ xa để tìm nạp các hướng dẫn bổ sung để thực thi.
Điều này bao gồm thu thập thông tin hệ thống, chạy lệnh, tải xuống và thực thi các tệp trên máy nạn nhân và tự chấm dứt.
Trên các thiết bị chạy macOS, nội dung được mã hóa Base64 được truy xuất từ máy chủ được ghi vào tệp có tên “/Users/Shared/AppleAccount.tgz”. Tệp này sau đó được giải nén và khởi chạy dưới dạng ứng dụng “/Users/Shared/TempUser/AppleAccountAssistant.app”.
Quy trình tương tự, trên máy chủ Linux, xác thực bản phân phối hệ điều hành bằng cách kiểm tra tệp “/etc/os-release”. Sau đó, nó tiếp tục ghi mã C vào một tệp tạm thời “tmp.c”, tệp này được biên dịch thành một tệp có tên “/tmp/.ICE-unix/git” bằng cách sử dụng lệnh cc trên Fedora và gcc trên Debian.
Bitdefender cho biết họ cũng tìm thấy một “cửa sau mạnh hơn” trong số các mẫu, một tệp có nhãn “sh.py” đi kèm với một bộ khả năng mở rộng để thu thập siêu dữ liệu hệ thống, liệt kê tệp, xóa tệp, thực thi lệnh và tệp cũng như trích xuất mã hóa dữ liệu theo lô.
Thành phần thứ ba là tệp nhị phân FAT được gọi là xcc được viết bằng Swift và nhắm mục tiêu macOS Monterey (phiên bản 12) trở lên. Tệp chứa hai tệp Mach-O cho kiến trúc CPU kép, x86 Intel và ARM M1.
Các nhà nghiên cứu cho biết: “Mục đích chính của nó rõ ràng là để kiểm tra quyền trước khi sử dụng một thành phần phần mềm gián điệp tiềm năng (có thể là để chụp màn hình) nhưng không bao gồm chính thành phần phần mềm gián điệp đó”.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
“Điều này khiến chúng tôi tin rằng những tệp này là một phần của cuộc tấn công phức tạp hơn và một số tệp bị thiếu trong hệ thống mà chúng tôi đã điều tra.”
Các kết nối phần mềm gián điệp của xcc bắt nguồn từ một đường dẫn được xác định trong nội dung tệp, “/Users/joker/Downloads/Spy/XProtectCheck/” và thực tế là nó kiểm tra các quyền như Truy cập đĩa, Ghi màn hình và Khả năng truy cập.
Danh tính của các tác nhân đe dọa đằng sau hoạt động này vẫn chưa được biết. Hiện tại vẫn chưa rõ cách thức truy cập ban đầu và liệu nó có liên quan đến yếu tố kỹ thuật xã hội hoặc lừa đảo trực tuyến hay không.
Tiết lộ này được đưa ra hơn hai tuần sau khi công ty an ninh mạng Kaspersky của Nga tiết lộ rằng các thiết bị iOS đã được nhắm mục tiêu như một phần của chiến dịch di động phức tạp và kéo dài có tên là Chiến dịch Tam giác bắt đầu vào năm 2019.
