JokerSpy مستتر

اكتشف باحثو الأمن السيبراني برنامجًا ضارًا لنظام التشغيل Mac غير معروف سابقًا والذي أصاب بنجاح تبادل العملات المشفرة. تبرز هذه البرامج الضارة ، التي تسمى JokerSpy ، نظرًا لمجموعتها الواسعة من القدرات ، مما يشكل تهديدًا صريحًا لأمن وخصوصية الأنظمة المتأثرة.

تم تصميم JokerSpy باستخدام لغة برمجة Python. يعرض مجموعة واسعة من الوظائف الخبيثة ، ومجموعة أدواته الشاملة تمكنه ليس فقط من سرقة البيانات الخاصة ولكن أيضًا من تنزيل وتنفيذ ملفات ضارة إضافية. ونتيجة لذلك ، يمكن أن يتعرض الضحايا لضرر محتمل أكبر.

ومن المثير للاهتمام ، أن JokerSpy يستفيد من أداة مفتوحة المصدر تسمى SwiftBelt ، تم إنشاؤها في الأصل لمتخصصي الأمن الشرعيين لتقييم نقاط الضعف في الشبكة. يوضح اعتماد أدوات شرعية لأغراض شائنة قابلية التكيف وتعقيد البرامج الضارة.

في حين أن التركيز في هذا الاكتشاف يتمحور حول البرامج الضارة لنظام التشغيل Mac ، فمن الجدير بالذكر أن الباحثين اكتشفوا أيضًا عناصر تشير إلى وجود متغيرات JokerSpy لأنظمة Windows و Linux. يشير هذا إلى أن منشئو JokerSpy قد طوروا إصدارات تستهدف أنظمة التشغيل الشائعة ، وبالتالي توسيع مدى وصولهم وتأثيرهم المحتمل عبر منصات متعددة.

JokerSpy يتجاوز الحماية الأمنية لنظام التشغيل MacOS

لوحظ أن ممثل التهديد غير المعروف الذي يقف وراء JokerSpy يستخدم تقنية للتحايل على حماية الشفافية والموافقة والتحكم (TCC) في macOS. عادةً ، قد يطلبون إذنًا صريحًا من المستخدم للتطبيقات للوصول إلى الموارد الحساسة على جهاز Mac ، مثل محرك الأقراص الثابتة وجهات الاتصال أو القدرة على تسجيل الشاشة.

لتحقيق هدفهم ، استبدل ممثلو التهديد قاعدة بيانات TCC الحالية بقاعدة بياناتهم الخاصة ، بهدف قمع أي تنبيهات يتم تشغيلها عادةً عند تنفيذ برنامج JokerSpy الضار. أظهرت الهجمات السابقة أن الجهات الفاعلة في التهديد يمكن أن تستغل نقاط الضعف في حماية TCC لتجاوزها بنجاح.

في هذه الحالة بالذات ، يلعب المكون القابل للتنفيذ xcc من JokerSpy دورًا حاسمًا في الاستغلال. يقوم بفحص أذونات TCC ، وتحديد التطبيق النشط حاليًا الذي كان يتفاعل معه المستخدم. بعد ذلك ، يواصل تنزيل وتثبيت sh.py ، المحرك الأساسي المسؤول عن تشغيل البرامج الضارة JokerSpy.

من خلال استخدام هذه الطريقة ، يتمكن المهاجمون من الاستفادة من ثغرة يوم الصفر في macOS ، مما يمنحهم القدرة على التقاط لقطات شاشة لأجهزة Mac المعرضة للخطر.

قدرات التهديد المتعددة الموجودة داخل JokerSpy Backdoor

بمجرد اختراق النظام وإصابته بـ JokerSpy ، يكتسب المهاجم سيطرة كبيرة عليه. تشمل القدرات التي يعرضها تهديد البرامج الضارة هذا مجموعة واسعة من الوظائف والإجراءات التي يمكن تنفيذها وفقًا لأهداف المهاجمين المحددة.

تتضمن هذه الوظائف القدرة على إيقاف تنفيذ الباب الخلفي JokerSpy الموجود داخل الجهاز المخترق. بالإضافة إلى ذلك ، تمكن البرامج الضارة المهاجم من سرد الملفات الموجودة في مسار محدد ، وتنفيذ أوامر shell واسترداد مخرجاتها ، والتنقل وتغيير الدلائل ، وتنفيذ كود Python ضمن السياق الحالي.

يمتلك JokerSpy أيضًا القدرة على فك شفرة Python المشفرة باستخدام Base64 والتي يتم توفيرها كمعامل وتجميعها وتنفيذها لاحقًا داخل النظام المصاب. علاوة على ذلك ، تمكن البرامج الضارة المهاجم من حذف الملفات أو الدلائل من النظام المخترق ، وتنفيذ الملفات مع أو بدون معلمات ، وتحميل الملفات إلى النظام المصاب ، وتنزيل الملفات من النظام المصاب.

يمكن للمهاجمين أيضًا إرشاد JokerSpy لاسترداد التكوين الحالي للبرامج الضارة المخزنة في ملف التكوين. يمكن للمهاجم الوصول إلى هذا التكوين ومعالجته ليناسب أهدافه ، حيث يمكنه تجاوز ملف التكوين الحالي بقيم جديدة تتوافق مع نواياهم الضارة.

من خلال عرض هذه الوظائف والإجراءات المختلفة ، يوفر JokerSpy للمهاجم مجموعة شاملة من الأدوات لممارسة السيطرة وتنفيذ الأنشطة الضارة داخل النظام المخترق. تؤكد هذه الإمكانات على خطورة الإصابة بالبرامج الضارة وتأثيرها المحتمل ، مع التأكيد على الأهمية الحاسمة لتنفيذ تدابير أمنية قوية لمنع هذه التهديدات والتخفيف من حدتها.