Un échange de crypto-monnaie inconnu situé au Japon a été la cible d’une nouvelle attaque au début du mois pour déployer une porte dérobée Apple macOS appelée JokerSpy.
Elastic Security Labs, qui surveille l’intrusion définie sous le nom RÉF9134a déclaré que l’attaque avait conduit à l’installation de Swiftbelt, un outil d’énumération basé sur Swift inspiré d’un utilitaire open source appelé SeatBelt.
JokerSky a été documenté pour la première fois par Bitdefender la semaine dernière, le décrivant comme une boîte à outils sophistiquée conçue pour violer les machines macOS.
On sait très peu de choses sur l’acteur de la menace derrière les attaques, à part le fait que les attaques exploitent un ensemble de programmes écrits en Python et Swift qui sont dotés de capacités pour collecter des données et exécuter des commandes arbitraires sur des hôtes compromis.
Un composant principal de la boîte à outils est un binaire multi-architecture auto-signé appelé xcc qui est conçu pour vérifier les autorisations FullDiskAccess et ScreenRecording.
Le fichier est signé en tant que XProtectCheck, indiquant une tentative de se faire passer pour XProtect, une technologie antivirus intégrée à macOS qui utilise des règles de détection basées sur la signature pour supprimer les logiciels malveillants des hôtes déjà infectés.
Dans l’incident analysé par Elastic, la création de xcc est suivie par l’acteur malveillant « tentant de contourner les autorisations TCC en créant sa propre base de données TCC et en essayant de remplacer celle existante ».
« Le 1er juin, un nouvel outil basé sur Python a été vu s’exécutant à partir du même répertoire que xcc et a été utilisé pour exécuter un outil d’énumération post-exploitation macOS open source connu sous le nom de Swiftbelt », ont déclaré les chercheurs en sécurité Colson Wilhoit, Salim Bitam, Seth Goodwin. , Andrew Pease et Ricardo Ungureanu ont déclaré.
L’attaque visait un grand fournisseur de services de crypto-monnaie basé au Japon, axé sur l’échange d’actifs pour le commerce de Bitcoin, d’Ethereum et d’autres crypto-monnaies courantes. Le nom de la société n’a pas été divulgué.
Le binaire xcc, pour sa part, est lancé au moyen de Bash via trois applications différentes nommées IntelliJ IDEA, iTerm (un émulateur de terminal pour macOS) et Visual Studio Code, indiquant que des versions dérobées de logiciels de développement de logiciels sont probablement utilisées pour obtenir un premier accès.
Un autre module notable installé dans le cadre de l’attaque est sh.py, un implant Python utilisé comme conduit pour fournir d’autres outils de post-exploitation comme Swiftbelt.
« Contrairement à d’autres méthodes d’énumération, Swiftbelt invoque le code Swift pour éviter de créer des artefacts de ligne de commande », ont déclaré les chercheurs. « Notamment, les variantes xcc sont également écrites en utilisant Swift. »
