Categories: AlertsCybersicherheit

Plattformübergreifende Backdoor weist auf komplexe MacOS-Attacke hin

In „freier Wildbahn“ gibt es bisher erst wenige Belege. Am 18. April fand der erste anonyme Upload eines Samples auf dem Google-Dienst VirusTotal statt, gemeinsam mit Uploads IoC B bis IoC D (interne Bitdefender-Nummerierungen). Die Bitdefender Labs sind im Kontakt mit den Opfern. Bei zweien der drei isolierten Samples handelt es sich um generische, in Python geschriebene Hintertüren, die scheinbar sowohl auf MacOS-, Windows- als auch Linux-basierte Betriebssysteme abzielen. Für diesen Zweck enthält die shared.dat-Backdoor eine Routine zum Abfragen des Betriebssystems und meldet im Fall von Windows eine „0“ zurück. Im Fall von MacOS eine „1“ und im Fall von Linux eine „2“.

Einzelheiten zu Samples

Sharded.dat

in Python geschrieben – nutzt die rot13substitution-Verschlüsselung, um die Werte bestimmter Dateipfade und Strings zu verschleiern. Es generiert zudem eine individuelle Identifikation der Hardware. Diese können Angreifer zu einem späteren Zeitpunkt für Command-and-Control-Anfragen verwenden.

Sh.py

auch in Python geschrieben – verfügt über plattformübergreifende Kapazitäten für die Übernahme von Command-and-Control-Aufgaben. Zu seinen Funktionalitäten gehören unter anderem das Auflisten von Dateien und zugehöriger Metadaten, das Wechseln einer Directory, das Ausführen von Kommandos oder Dateien, das Entfernen von Dateien oder Directories, das Schreiben in eine Datei sowie das Erlangen grundlegender Informationen zu einem System.

xcc

ist eine FAT Binary und enthält Mach-O-Dateien für die Intel- und die ARM M1-Architekturen. Es zielt auf MacOS12 und höher ab. Offensichtlich fragt es bestehende Berechtigungen ab, um aller Voraussicht nach ein Spionage-Tool (Screen Capture) zu verwenden. Die Spyware-Komponente ist aber nicht enthalten. Diese Tatsache deutet darauf hin, dass es sich hier um ein erstes Element einer komplexeren Attacke handelt. Die Bitdefender-Experten führen unter IoC E ein weiteres Sample, welches eine Mach-O Binary für die X86-Architektur enthält.

Roger Homrich