Se ha identificado un nuevo y extraño malware de macOS llamado “JokerSpy”, con su primera creación conocida de puerta trasera llegando a un intercambio de criptomonedas.
Si bien las amenazas de Mac son relativamente raras en comparación con Windows, el número de casos en los que macOS es el objetivo ha ido creciendo. Este nuevo descubrimiento, parece que el malware está creando puertas traseras que le cualifican para ser añadido a la lista de amenazas potenciales.
Inicialmente reportado por investigadores de Bitdefender con una investigación independiente también llevada a cabo por Elastic Security Labs, el malware conocido como JokerSpy sigue siendo relativamente desconocido, en parte debido a la falta de muestras. Hasta ahora, BitDefender está trabajando en cuatro muestras en total, mientras que Eastic se centró en la violación de un “prominente intercambio japonés de criptomonedas”.
Como parte de la construcción del malware, utiliza un binario llamado “xcc” que contiene archivos Mach-O para arquitecturas x86 Intel y ARM M1, lo que teóricamente le permite funcionar en Macs Intel y Apple Silicon. El archivo comprueba los permisos gestionados por el sistema de transparencia, consentimiento y control de Apple.
Después de copiar la base de datos TCC existente para evitar la detección, el ejecutable xcc se ejecutó, creando una puerta trasera basada en Python antes de recopilar información del sistema que luego se envía de vuelta al atacante. Es posible que se puedan emplear complementos y otras cargas útiles para asegurar un mayor control sobre el sistema.
La brecha a finales de mayo fue seguida por una nueva herramienta de Python que se instaló el 1 de junio, que ejecuta una herramienta de enumeración posterior a la explotación llamada Swiftbelt.
Con tan pocas instancias con las que trabajar, y la creencia de que el hacker de intercambio tenía acceso previo al sistema de destino, se desconoce cómo se pudo haber introducido el malware en los Mac de destino fuera de tener ya algún tipo de acceso.
También se desconoce quién creó el malware en primer lugar, pero al apuntar a un intercambio de criptomonedas, podría ser un ataque muy sofisticado en lugar de uno en el que el usuario promedio pudiera caer presa de él.
