Startseite » IT-Sicherheit »

Bitdefender Labs: Erste Fragmente einer plattformübergreifenden Backdoor weisen auf eine komplexe MacOS-Attacke hin

Erste Fragmente einer plattformübergreifenden Backdoor
Bitdefender Labs warnt vor komplexer macOS-Attacke

19. Juni 2023
2 Minuten Lesezeit
Bitdefender Labs warnt vor komplexer macOS-Attacke
Die Bitdefender Labs warnen vor einer möglichen komplexen Cyberattacke auf macOS-Geräte. Bild: IB Photography / stock.adobe.com

Die macOS-Experten der Bitdefender Labs haben Samples mit plattformübergreifenden Backdoor-Funktionalitäten gefunden. Eine erste Analyse weist darauf hin, dass mögliche größere Attacken noch bevorstehen können. Weitere Untersuchungen seien am Laufen, so Bitdefender.

In „freier Wildbahn“ gibt es nach Angaben von Bitdefender bisher erst wenige Belege. Am 18. April fand demnach der erste anonyme Upload eines Samples (IoC A, interne Bitdefender-Nummerierung), auf dem Google-Dienst VirusTotal statt, gemeinsam mit Uploads IoC B bis IoC D (interne Bitdefender-Nummerierung). Die Bitdefender Labs stehen nach eigenen Angaben im Kontakt mit den Opfern. Bei zweien der drei isolierten Samples handele es sich um generische, in Python geschriebene Hintertüren, die anscheinend sowohl auf macOS-, Windows- als auch Linux-basierte Betriebssysteme abzielen. Für diesen Zweck enthält die shared.dat-Backdoor eine Routine zum Abfragen des Betriebssystems und meldet im Fall von Windows eine „0“ zurück. Im Fall von MacOS eine „1“ und im Fall von Linux eine „2“.

Folgende Einzelheiten nennt Bitdefender zu den Samples:

  • Sharded.dat – in Python geschrieben – nutzt die rot13substitution-Verschlüsselung, um die Werte bestimmter Dateipfade und Strings zu verschleiern. Es generiert zudem eine individuelle Identifikation der Hardware. Diese können Angreifer zu einem späteren Zeitpunkt für Command-and-Control-Anfragen verwenden.
  • Sh.py – auch in Python geschrieben – verfügt über plattformübergreifende Kapazitäten für die Übernahme von Command-and-Control-Aufgaben. Zu seinen Funktionalitäten gehören unter anderem das Auflisten von Dateien und zugehöriger Metadaten, das Wechseln einer Directory, das Ausführen von Kommandos oder Dateien, das Entfernen von Dateien oder Directories, das Schreiben in eine Datei sowie das Erlangen grundlegender Informationen zu einem System.
  • xcc ist eine FAT Binary und enthält Mach-O-Dateien für die Intel- und die ARM M1-Architekturen. Es zielt auf macOS 12 und höher ab. Offensichtlich fragt es bestehende Berechtigungen ab, um aller Voraussicht nach ein Spionage-Tool (Screen Capture) zu verwenden. Die Spyware-Komponente ist aber nicht enthalten. Diese Tatsache deutet darauf hin, dass es sich hier um ein erstes Element einer komplexeren Attacke handelt. Die Bitdefender-Experten führen unter IoC E ein weiteres Sample, welches eine Mach-O Binary für die X86-Architektur enthält.

Weitere Informationen über den aktuellen Stand der Cybersecurity-Analyse finden Sie hier auf bitdefender.com. (ah)

Unsere Whitepaper-Empfehlung
Teilen:
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de