Περισσότερες από δώδεκα νέες οικογένειες κακόβουλου λογισμικού Mac ανακαλύφθηκαν το 2022, συμπεριλαμβανομένων κλοπών πληροφοριών, εξορύξεων κρυπτονομισμάτων, φορτωτών και κερκόπορτων, και πολλοί από αυτούς έχουν συνδεθεί με την Κίνα.
Ο ειδικός σε θέματα ασφάλειας Mac, Patrick Wardle, συνέταξε μια λίστα με το κακόβουλο λογισμικό macOS που ήρθαν στο φως κατά τη διάρκεια του περασμένου έτους. Ο αριθμός των νέων κακόβουλων προγραμμάτων φαίνεται να αυξάνεται σε σχέση με το 2021.
Το πρώτο κακόβουλο λογισμικό που εμφανίστηκε το 2022 ήταν το SysJoker, ένα cross-platform backdoor που χρησιμοποιήθηκε από έναν ηθοποιό APT σε στοχευμένες επιθέσεις. Το SysJoker, που παρατηρήθηκε ότι στοχεύει ένα εκπαιδευτικό ίδρυμα, μπορεί να κατεβάσει και να εκτελέσει άλλα κακόβουλα στοιχεία.
Το δεύτερο κακόβουλο λογισμικό macOS,το DazzleSpy, χρησιμοποιήθηκε ως μέρος μιας εκστρατείας κυβερνοκατασκοπείας που χρηματοδοτείται από το κράτος με στόχο ακτιβιστές υπέρ της δημοκρατίας στο Χονγκ Κονγκ. Το κακόβουλο λογισμικό έχει περιγραφεί ως κερκόπορτα και κλέφτης πληροφοριών και ο κύριος ύποπτος πίσω από αυτές τις επιθέσεις είναι η Κίνα.
Ένα άλλο νέο κομμάτι κακόβουλου λογισμικού, το οποίο μπορεί να συνδέεται με το DazzleSpy, ονομάστηκε VPN Trojan (Covid) και έχει περιγραφεί ως ένα μόνιμο backdoor που μπορεί να κατεβάσει και να εκτελέσει ωφέλιμα φορτία δεύτερου σταδίου απευθείας από τη μνήμη.
Το κακόβουλο λογισμικό με το όνομα oRAT έχει επίσης συνδεθεί με μια κινεζική ομάδα APT. Η απειλή Go-written έχει μια μακρά λίστα δυνατοτήτων που σχετίζονται με την κατασκοπεία, αλλά το δείγμα που αναλύθηκε δεν διέθετε μηχανισμό εμμονής.
Μια κινεζική ομάδα κυβερνοκατασκοπείας πιστεύεται επίσης ότι βρίσκεται πίσω από μια κερκόπορτα του macOS με το όνομαRshell, το οποίο έχει παραδοθεί μέσω επίθεσης στην αλυσίδα εφοδιασμού. Το κακόβουλο λογισμικό μπορεί να εκτελέσει εντολές σε ένα κέλυφος και να κλέψει πληροφορίες.
Το κακόβουλο λογισμικό γνωστό ως Gimmick έχει επίσης συνδεθεί με κινεζικούς κυβερνοκατασκόπους. Το backdoor χρησιμοποιεί παρόχους cloud για εντολή και έλεγχο (C&C).
Το CloudMensis έχει χρησιμοποιηθεί για την κλοπή πολύτιμων πληροφοριών από παραβιασμένα συστήματα, συμπεριλαμβανομένων εγγράφων, στιγμιότυπων οθόνης και πληκτρολογήσεων. Το κακόβουλο λογισμικό εκμεταλλεύτηκε παλαιότερα τρωτά σημεία, γεγονός που υποδηλώνει ότι υπάρχει εδώ και αρκετά χρόνια.
Η λίστα με το νέο κακόβουλο λογισμικό macOS περιλαμβάνει επίσης το KeySteal, έναν κλέφτη κλειδιών που παρέχεται μέσω τρωανοποιημένων εκδόσεων μιας δωρεάν εφαρμογής, και τον εξορύκτη κρυπτονομισμάτων CoinMiner, που χρησιμοποιεί διάφορα στοιχεία ανοιχτού κώδικα και I2P για κρυφές επικοινωνίες.