Categories: AlertsCybersicherheit

Plattformübergreifende Backdoor weist auf komplexe MacOS-Attacke hin

In „freier Wildbahn“ gibt es bisher erst wenige Belege. Am 18. April fand der erste anonyme Upload eines Samples auf dem Google-Dienst VirusTotal statt, gemeinsam mit Uploads IoC B bis IoC D (interne Bitdefender-Nummerierungen). Die Bitdefender Labs sind im Kontakt mit den Opfern. Bei zweien der drei isolierten Samples handelt es sich um generische, in Python geschriebene Hintertüren, die scheinbar sowohl auf MacOS-, Windows- als auch Linux-basierte Betriebssysteme abzielen. Für diesen Zweck enthält die shared.dat-Backdoor eine Routine zum Abfragen des Betriebssystems und meldet im Fall von Windows eine „0“ zurück. Im Fall von MacOS eine „1“ und im Fall von Linux eine „2“.

Einzelheiten zu Samples

Sharded.dat

in Python geschrieben – nutzt die rot13substitution-Verschlüsselung, um die Werte bestimmter Dateipfade und Strings zu verschleiern. Es generiert zudem eine individuelle Identifikation der Hardware. Diese können Angreifer zu einem späteren Zeitpunkt für Command-and-Control-Anfragen verwenden.

Sh.py

auch in Python geschrieben – verfügt über plattformübergreifende Kapazitäten für die Übernahme von Command-and-Control-Aufgaben. Zu seinen Funktionalitäten gehören unter anderem das Auflisten von Dateien und zugehöriger Metadaten, das Wechseln einer Directory, das Ausführen von Kommandos oder Dateien, das Entfernen von Dateien oder Directories, das Schreiben in eine Datei sowie das Erlangen grundlegender Informationen zu einem System.

xcc

ist eine FAT Binary und enthält Mach-O-Dateien für die Intel- und die ARM M1-Architekturen. Es zielt auf MacOS12 und höher ab. Offensichtlich fragt es bestehende Berechtigungen ab, um aller Voraussicht nach ein Spionage-Tool (Screen Capture) zu verwenden. Die Spyware-Komponente ist aber nicht enthalten. Diese Tatsache deutet darauf hin, dass es sich hier um ein erstes Element einer komplexeren Attacke handelt. Die Bitdefender-Experten führen unter IoC E ein weiteres Sample, welches eine Mach-O Binary für die X86-Architektur enthält.
Roger Homrich

Share
Published by
Roger Homrich
Tags: CyberangriffCyberbedrohungmacOSPhyton
1 Jahr ago

Recent Posts

O2 und Telekom bauen Glasfaserkooperation aus

Beide Konzerne wollen die Zahl der Anschlüsse deutlich steigern. Die Öffnung des Telekomnetzes gilt ihnen…

19 Stunden ago

Cloud-Ausfälle: Wie oft sind Unternehmen betroffen?

Vier von fünf Betrieben in Deutschland nutzen Cloud Computing. 39 Prozent davon waren in den…

21 Stunden ago

iFLYTEK stellt Spark V4.0 auf dem MWC Shanghai vor: Führend bei der nächsten KI-Welle

Shanghai, July 2024. iFLYTEK hielt in Peking eine große Pressekonferenz ab, um den mit Spannung…

24 Stunden ago

Apple startet Beta von Karten im Web

Die Webversion unterstützt macOS, iPadOS (Chrome und Safari) und Windows (Chrome und Edge). Weitere Plattformen…

24 Stunden ago

Bundesverwaltung beschafft bis zu 300.000 Apple-Geräte

Auftragnehmer ist der Neckarsulmer IT-Dienstleister Bechtle. Die Rahmenvereinbarung gilt bis 2027 und hat einen Wert…

1 Tag ago

Windows 11: Juli-Sicherheitspatches verursachen Probleme mit Bitlocker

Windows-Clients und -Server starten unter Umständen nur bis zum BitLocker-Wiederherstellungsbildschirm. Betroffen sind alle unterstützten Versionen…

2 Tagen ago