Categories: AlertsCybersicherheit

Plattformübergreifende Backdoor weist auf komplexe MacOS-Attacke hin

In „freier Wildbahn“ gibt es bisher erst wenige Belege. Am 18. April fand der erste anonyme Upload eines Samples auf dem Google-Dienst VirusTotal statt, gemeinsam mit Uploads IoC B bis IoC D (interne Bitdefender-Nummerierungen). Die Bitdefender Labs sind im Kontakt mit den Opfern. Bei zweien der drei isolierten Samples handelt es sich um generische, in Python geschriebene Hintertüren, die scheinbar sowohl auf MacOS-, Windows- als auch Linux-basierte Betriebssysteme abzielen. Für diesen Zweck enthält die shared.dat-Backdoor eine Routine zum Abfragen des Betriebssystems und meldet im Fall von Windows eine „0“ zurück. Im Fall von MacOS eine „1“ und im Fall von Linux eine „2“.

Einzelheiten zu Samples

Sharded.dat

in Python geschrieben – nutzt die rot13substitution-Verschlüsselung, um die Werte bestimmter Dateipfade und Strings zu verschleiern. Es generiert zudem eine individuelle Identifikation der Hardware. Diese können Angreifer zu einem späteren Zeitpunkt für Command-and-Control-Anfragen verwenden.

Sh.py

auch in Python geschrieben – verfügt über plattformübergreifende Kapazitäten für die Übernahme von Command-and-Control-Aufgaben. Zu seinen Funktionalitäten gehören unter anderem das Auflisten von Dateien und zugehöriger Metadaten, das Wechseln einer Directory, das Ausführen von Kommandos oder Dateien, das Entfernen von Dateien oder Directories, das Schreiben in eine Datei sowie das Erlangen grundlegender Informationen zu einem System.

xcc

ist eine FAT Binary und enthält Mach-O-Dateien für die Intel- und die ARM M1-Architekturen. Es zielt auf MacOS12 und höher ab. Offensichtlich fragt es bestehende Berechtigungen ab, um aller Voraussicht nach ein Spionage-Tool (Screen Capture) zu verwenden. Die Spyware-Komponente ist aber nicht enthalten. Diese Tatsache deutet darauf hin, dass es sich hier um ein erstes Element einer komplexeren Attacke handelt. Die Bitdefender-Experten führen unter IoC E ein weiteres Sample, welches eine Mach-O Binary für die X86-Architektur enthält.
Roger Homrich

Recent Posts

Open-Source-Malware auf Rekordniveau

Alarmierender Anstieg von Open-Source-Malware / Seit 2019 haben Sonatype-Analysen mehr als 778.500 bösartige Pakete aufgedeckt

7 Stunden ago

Bayerische KI-Agentur bietet KI-KOMPASS

Das KI-Werkzeug "BAIOSPHERE KI-KOMPASS" soll Unternehmen den Einstieg in KI erleichtern.

7 Stunden ago

Cloudflare: Weltweiter Internettraffic wächst 2024 um 17,2 Prozent

Das Wachstum konzentriert sich wie im Vorjahr auf das zweite Halbjahr. Google dominiert bei den…

9 Stunden ago

Adobe stopft kritische Löcher in Reader und Acrobat

Sie ermöglichen eine Remotecodeausführung. Angreifbar sind Acrobat DC, 2024 und 2020 sowie Reader DC und…

9 Stunden ago

Dezember-Patchday: Microsoft schließt Zero-Day-Lücke

Die öffentlich bekannte und bereits ausgenutzte Schwachstelle erlaubt eine Rechteausweitung. Betroffen sind alle unterstützten Versionen…

15 Stunden ago

Quantencomputer: Google meldet Durchbruch bei Fehlerkorrektur

Der neue Quantenchip Willow löst eine Herausforderung, an der seit 30 Jahren gearbeitet wird. Google…

1 Tag ago