Los investigadores de ciberseguridad descubrieron recientemente un conjunto de artefactos maliciosos que parecen ser parte de un sofisticado virus spyware dirigido a macOS de Apple.
Según un informe preliminar de Bitdefender, la primera muestra data del 18 de abril de 2023. Los programas maliciosos se han etiquetado como JokerSpy e incluyen una puerta trasera genérica basada en Python que está diseñada para atacar los sistemas Windows, Linux y macOS.
Puede recopilar información del sistema, ejecutar comandos, descargar y ejecutar archivos y terminarse a sí mismo. En macOS, la carga útil se escribe en un archivo llamado /Users/Shared/AppleAccount.tgz y se inicia como la aplicación /Users/Shared/TempUser/AppleAccountAssistant.app.
Además, se identificó otra puerta trasera llamada «sh.py» que tiene un amplio conjunto de capacidades, como la recopilación de metadatos del sistema, la enumeración de archivos, la eliminación de archivos, la ejecución de comandos y archivos y la filtración de datos codificados.
El tercer componente es un binario FAT conocido como xcc, escrito en Swift, que apunta a macOS Monterey (versión 12). Los investigadores descubrieron recientemente un archivo malicioso, xcc, en dispositivos iOS.
Contiene dos archivos Mach-O para las arquitecturas Intel x86 y ARM M1. El objetivo principal del archivo parece ser verificar los permisos antes de usar un posible componente de spyware, aunque el spyware en sí no está incluido.
La evidencia sugiere que este archivo es parte de un ataque mayor y que pueden faltar otros archivos. La ruta del archivo /Users/joker/Downloads/Spy/XProtectCheck/ y su verificación de los permisos de Acceso al disco, Grabación de pantalla y Accesibilidad sugieren sus conexiones de spyware.
Aún se desconoce la identidad de los actores de amenazas detrás de esta actividad, y no está claro cómo se obtuvo el acceso inicial. Este descubrimiento sigue a la revelación de Operation Triangulation, una campaña móvil que ha estado dirigida a dispositivos iOS desde 2019.
