Categories: AlertsCybersicherheit

Plattformübergreifende Backdoor weist auf komplexe MacOS-Attacke hin

In „freier Wildbahn“ gibt es bisher erst wenige Belege. Am 18. April fand der erste anonyme Upload eines Samples auf dem Google-Dienst VirusTotal statt, gemeinsam mit Uploads IoC B bis IoC D (interne Bitdefender-Nummerierungen). Die Bitdefender Labs sind im Kontakt mit den Opfern. Bei zweien der drei isolierten Samples handelt es sich um generische, in Python geschriebene Hintertüren, die scheinbar sowohl auf MacOS-, Windows- als auch Linux-basierte Betriebssysteme abzielen. Für diesen Zweck enthält die shared.dat-Backdoor eine Routine zum Abfragen des Betriebssystems und meldet im Fall von Windows eine „0“ zurück. Im Fall von MacOS eine „1“ und im Fall von Linux eine „2“.

Einzelheiten zu Samples

Sharded.dat

in Python geschrieben – nutzt die rot13substitution-Verschlüsselung, um die Werte bestimmter Dateipfade und Strings zu verschleiern. Es generiert zudem eine individuelle Identifikation der Hardware. Diese können Angreifer zu einem späteren Zeitpunkt für Command-and-Control-Anfragen verwenden.

Sh.py

auch in Python geschrieben – verfügt über plattformübergreifende Kapazitäten für die Übernahme von Command-and-Control-Aufgaben. Zu seinen Funktionalitäten gehören unter anderem das Auflisten von Dateien und zugehöriger Metadaten, das Wechseln einer Directory, das Ausführen von Kommandos oder Dateien, das Entfernen von Dateien oder Directories, das Schreiben in eine Datei sowie das Erlangen grundlegender Informationen zu einem System.

xcc

ist eine FAT Binary und enthält Mach-O-Dateien für die Intel- und die ARM M1-Architekturen. Es zielt auf MacOS12 und höher ab. Offensichtlich fragt es bestehende Berechtigungen ab, um aller Voraussicht nach ein Spionage-Tool (Screen Capture) zu verwenden. Die Spyware-Komponente ist aber nicht enthalten. Diese Tatsache deutet darauf hin, dass es sich hier um ein erstes Element einer komplexeren Attacke handelt. Die Bitdefender-Experten führen unter IoC E ein weiteres Sample, welches eine Mach-O Binary für die X86-Architektur enthält.
Roger Homrich

Recent Posts

Chatbot für nachhaltigen Lebensmittelkauf

Die Kennzeichnung von Lebensmitteln ist allzu oft ein Buch mit sieben Siegeln. Ein bayrisches Forschungsprojekt…

19 Stunden ago

KI-gestützte Flugsicherung auf Vertiports

Wie schützt man Landeplätze für Flugtaxis? Forschende am Fraunhofer-Institut entwickeln gerade ein passendes Sensornetzwerk.

20 Stunden ago

9 von 10 Pornokonsumenten haben ungeschützten Cyberverkehr

3 Prozent der Befragten gucken Inhalte sogar im Büro. Lediglich 6 Prozent schützen sich mit…

21 Stunden ago

Sind Smartphones auch ohne Apps denkbar?

Warum sich noch mit Details beschäftigen? Ende Februar will die Telekom zeigen, wie ein KI-Assistent…

2 Tagen ago

So viele Deutsche reinigen ihre Devices nie

Tastaturen und Touchscreens lieben Keime. Hygiene wäre gut. Dass es damit im Alltag nicht weit…

2 Tagen ago

Die Rolle von Künstlicher Intelligenz in der Fachübersetzung

In der heutigen globalisierten Welt spielt die Fachübersetzung eine entscheidende Rolle bei der Überbrückung von…

2 Tagen ago