Plattformübergreifende Backdoor für MacOS
Die MacOS-Experten der Bitdefender Labs haben Samples mit plattformübergreifenden Backdoor-Funktionalitäten gefunden. Eine erste Analyse weist darauf hin, dass mögliche größere Attacken noch bevorstehen können. Weitere Untersuchungen sind am Laufen.
In freier Wildbahn gibt es bisher erst wenige Belege. Am 18. April fand der erste anonyme Upload eines Samples (IoC A, interne Bitdefender-Nummerierung), auf dem Google-Dienst VirusTotal statt, gemeinsam mit Uploads IoC B bis IoC D (interne Bitdefender-Nummerierung). Die Bitdefender Labs sind im Kontakt mit den Opfern.
Bei zweien der drei isolierten Samples handelt es sich um generische, in Python geschriebene Hintertüren, die scheinbar sowohl auf MacOS-, Windows- als auch Linux-basierte Betriebssysteme abzielen. Für diesen Zweck enthält die shared.dat-Backdoor eine Routine zum Abfragen des Betriebssystems und meldet im Fall von Windows eine "0" zurück. Im Fall von MacOS eine "1" und im Fall von Linux eine "2".
Einzelheiten zu den Samples:
Sharded.dat – in Python geschrieben – nutzt die rot13substitution-Verschlüsselung, um die Werte bestimmter Dateipfade und Strings zu verschleiern. Es generiert zudem eine individuelle Identifikation der Hardware. Diese können Angreifer zu einem späteren Zeitpunkt für Command-and-Control-Anfragen verwenden.
Sh.py – auch in Python geschrieben – verfügt über plattformübergreifende Kapazitäten für die Übernahme von Command-and-Control-Aufgaben. Zu seinen Funktionalitäten gehören unter anderem das Auflisten von Dateien und zugehöriger Metadaten, das Wechseln einer Directory, das Ausführen von Kommandos oder Dateien, das Entfernen von Dateien oder Directories, das Schreiben in eine Datei sowie das Erlangen grundlegender Informationen zu einem System.
xcc ist eine FAT Binary und enthält Mach-O-Dateien für die Intel- und die ARM M1-Architekturen. Es zielt auf MacOS12 und höher ab. Offensichtlich fragt es bestehende Berechtigungen ab, um aller Voraussicht nach ein Spionage-Tool (Screen Capture) zu verwenden. Die Spyware-Komponente ist aber nicht enthalten. Diese Tatsache deutet darauf hin, dass es sich hier um ein erstes Element einer komplexeren Attacke handelt. Die Bitdefender-Experten führen unter IoC E ein weiteres Sample, welches eine Mach-O Binary für die X86-Architektur enthält.
Weitere Informationen über den aktuellen Stand der Analyse haben die Security-Forscher im Bitdefender-Blog veröffentlicht.