Cyberthreat.id - Peneliti keamanan siber menemukan sekumpulan artefak berbahaya yang merupakan bagian dari perangkat canggih yang menargetkan sistem Apple macOS. Demikian laporan The Hacker News.

"Sampai sekarang, sebagian besar sampel ini masih belum terdeteksi dan sangat sedikit informasi yang tersedia tentang salah satunya," kata peneliti Bitdefender Andrei Lapusneanu dan Bogdan Botezatu dalam laporan awal yang diterbitkan pada hari Jumat.

Analisis perusahaan Rumania didasarkan pada pemeriksaan empat sampel yang diunggah ke VirusTotal oleh korban yang tidak disebutkan namanya. Sampel paling awal berasal dari 18 April 2023.

Dua dari tiga program jahat dikatakan sebagai backdoor berbasis Python generik yang dirancang untuk menargetkan sistem Windows, Linux, dan macOS. Muatan tersebut secara kolektif dijuluki JokerSpy.

Konstituen pertama adalah shared.dat, yang, setelah diluncurkan, menjalankan pemeriksaan sistem operasi (0 untuk Windows, 1 untuk macOS, dan 2 untuk Linux) dan menjalin kontak dengan server jarak jauh untuk mengambil instruksi tambahan untuk eksekusi.

Ini termasuk mengumpulkan informasi sistem, menjalankan perintah, mengunduh dan mengeksekusi file di mesin korban, dan mengakhiri dirinya sendiri.

Pada perangkat yang menjalankan macOS, konten berenkode Base64 yang diambil dari server ditulis ke file bernama "/Users/Shared/AppleAccount.tgz" yang kemudian dibongkar dan diluncurkan sebagai aplikasi "/Users/Shared/TempUser/AppleAccountAssistant.app".

Rutin yang sama, pada host Linux, memvalidasi distribusi sistem operasi dengan mencentang file "/etc/os-release". Kemudian mulai menulis kode C ke file sementara "tmp.c," yang dikompilasi ke file bernama "/tmp/.ICE-unix/git" menggunakan perintah cc di Fedora dan gcc di Debian.

Bitdefender mengatakan juga menemukan "pintu belakang yang lebih kuat" di antara sampel, file berlabel "sh.py" yang dilengkapi dengan serangkaian kemampuan untuk mengumpulkan metadata sistem, menghitung file, menghapus file, menjalankan perintah dan file, dan mengekstraksi file yang disandikan.

Komponen ketiga adalah biner FAT yang dikenal sebagai xcc yang ditulis dalam Swift dan menargetkan macOS Monterey (versi 12) dan yang lebih baru. File tersebut menampung dua file Mach-O untuk arsitektur CPU kembar, x86 Intel dan ARM M1.

"Tujuan utamanya tampaknya untuk memeriksa izin sebelum menggunakan komponen spyware potensial (mungkin untuk menangkap layar) tetapi tidak termasuk komponen spyware itu sendiri," kata para peneliti.

"Ini membuat kami percaya bahwa file-file ini adalah bagian dari serangan yang lebih kompleks dan beberapa file hilang dari sistem yang kami selidiki."

Koneksi spyware xcc berasal dari jalur yang diidentifikasi dalam konten file, "/Users/joker/Downloads/Spy/XProtectCheck/" dan fakta bahwa ia memeriksa izin seperti Akses Disk, Perekaman Layar, dan Aksesibilitas.

Belum diketahui identitas aktor ancaman di balik aktivitas tersebut. Saat ini juga tidak jelas bagaimana akses awal diperoleh, dan apakah itu melibatkan unsur rekayasa sosial atau spear-phishing.

Pengungkapan itu terjadi dua minggu lebih setelah perusahaan keamanan siber Rusia Kaspersky mengungkapkan bahwa perangkat iOS telah menjadi sasaran sebagai bagian dari kampanye seluler canggih dan berjalan lama yang dijuluki Operasi Triangulasi yang dimulai pada 2019.[]