I ricercatori di Bitdefender hanno scoperto un attacco contro i dispositivi MacOS. Alcuni file trovati presentano funzionalità di backdoor che sembrano far parte di un complesso toolkit di malware multipiattaforma.
Un primo file individuato, shared.dat, usa la sostituzione ROT13 per nascondere i valori di stringhe e percorsi. Il file è una backdoor generica scritta in Python che sembra colpire i dispositivi MacOS, Windows e Linux.
La backdoor supporta quattro comandi inviati come codici cmdType dal server dell’attaccante: il 501 estrae informazioni come orario del dispositivo, versione del sistema operativo, username e hostname per scriverli su un file e inviarlo al server C2; il 502 corrisponde al cmdExec, usato per eseguire un comando specifico fornito come input alla funzione subprocess.Popen; il 503 per eseguire la routine DownExec che, nel caso di dispositivi MacOS, esegue un malware ricevuto dal server C2; infine, il 504 è la funzione di kill dello script.
Un altro file individuato dai ricercatori è sh.py, che presenta un funzionamento simile al precedente. Questa seconda backdoor sfrutta la funzione “process_command” per eseguire una serie di comandi ricevuti dal server dell’attaccante tra cui: comandi per ottenere la lista e i dettagli dei file presenti in una cartella, rimuovere file o intere cartelle, leggere dati da un file e inviarli al server di comando in base64 ed eseguire un’applicazione nel path specificato.
Infine, il team ha individuato un binario FAT contenente file eseguibili Mach-O per architetture x86 Intel e ARM M1. Questo file binario xcc è scritto in Swift e colpisce le versioni MacOS 12 e superiori.
Secondo una prima analisi, l’obiettivo dell’eseguibile è controllare i permessi per eseguire uno spyware. Tuttavia, non contiene il codice del malware; si ritiene che il file, quindi, insieme ai primi due, faccia parte di un attacco più complesso e che esistano altri file legati a quelli trovati dai ricercatori.
Al momento i dati a disposizione dei ricercatori sono incompleti, ma l’analisi sta proseguendo. Bitdefender ha invitato gli utenti e le aziende ad alzare il livello di attenzione, a rilevare eventuali indicatori di compromissione e a seguire gli aggiornamenti della ricerca.
