È stato recentemente scovato un nuovo malware per macOS, denominato JokerSpy, che per il momento è avvolto in un alone di mistero per varie ragioni. A segnalarlo sono stati i ricercatori di Bitdefender e quelli di Elastic Security Labs, ma nonostante gli studi condotti il virus risulta essere ancora relativamente sconosciuto.
JokerSpy: ecco il nuovo malware destinato a macOS
La mancanza di informazioni sufficienti è da ricercare nella carenza di campioni. Attualmente, Bitdefender sta lavorando su quattro campioni, mentre Elastic Security Labs si è concentrata sulla violazione di un exchange giapponese di criptovalute.
Come parte della struttura del malware, viene adoperato un binario chiamato “xcc” che contiene file Mach-O per le architetture Intel x86 e ARM M1, per cui teoricamente il funzionamento è possibile sia su Mac Intel che su Apple Silicon. Il file agisce verificando le autorizzazioni gestite dal sistema di Trasparenza, Consenso e Controllo di Apple.
Dopo la copia del database TCC esistente per evitare di essere identificato, l’eseguibile xcc crea una backdoor basata su Python, dopodiché raccoglie informazioni di sistema che vengono inviate all’attaccante. Possibile che vengano adoeprati plugin e altri payload per ottenere un maggiore controllo sul sistema.
Da tenere presente che la violazione avvenuta alla fine dello scorso mese è stata seguita dall’installazione di un nuovo strumento Python che esegue un tool di enumerazione post-exploit chiamato Swiftbelt.
Sulla base dei dati disponibili, non è chiaro come il malware possa essere stato introdotto nei Mac e non è neppure noto chi lo abbia creato, ma potrebbe trattarsi di un attacco sofisticato, come nel caso di DazzleSpy, e non uno destinato all’utenza media.