Bitdefenderはこのほど、「Fragments of Cross-Platform Backdoor Hint at Larger Mac OS Attack」において、高度なマルウェアの一部とされる悪意のあるファイルセットを発見したと伝えた。バックドア機能が備わっているとされているが、サンプルがまだほとんど検出されておらず、分析はまだ不完全と説明している。

観測されているサンプルは4つあり、1つは4月18日にVirusTotalにアップロードされたもので、残りの3つは被害者によって提供されたものとされている。これらのうち、2つはWindows、Linux、macOSをターゲットに設計された汎用Pythonベースのバックドアであることが判明している。なお、発見されたこれらのバックドアはまとめて「JokerSpy」と名付けられている。

バックドアには被害者のオペレーティングシステムを特定するためのチェックルーチンが実装されている。さらにリモートサーバとの接触を確立して実行用の追加命令を取得する機能や、システム情報の収集、コマンド実行、ファイルのダウンロードおよび実行といった機能も含まれている。

Swiftで書かれ、macOS Monterey以降をターゲットにしているサンプルも発見されている。スパイウェアを実行することを目的に開発されているとみられているが、今のところスパイウェアコンポーネント自体は含まれていない。完全なマルウェアとして機能するために必要なファイルが不足していることから、高度なマルウェアの一部ではないかと考えられている。

このバックドアの背後にいる脅威者やその目的はまだ明らかにされていない。ターゲットへの初期アクセスの方法や、ソーシャルエンジニアリングやスピアフィッシングの可能性があるのかも不明とされている。今後さらなる情報が集まり解析が進められ、攻撃手法や関与する脅威者が特定されることが期待される。