Борсата за криптовалута става жертва на безпрецедентна и опустошителна атака на зловреден софтуер за Mac
При скорошно откритие изследователите откриха нов вид злонамерен софтуер за Mac, който е насочен към обмен на криптовалута, представлявайки значителна заплаха за сигурността на средствата на потребителите. Този усъвършенстван злонамерен софтуер, наречен JokerSpy, показва широка гама от възможности, включително кражба на данни, изтегляне и изпълнение на заплашителни файлове и потенциална крос-платформена функционалност. Написан на Python, JokerSpy използва SwiftBelt, инструмент с отворен код, първоначално предназначен за законно тестване на сигурността. Първоначалното излагане на JokerSpy излезе наяве чрез доклад за сигурността, разкриващ съществуването му и повдигайки опасения относно потенциалната му наличност на платформи Windows и Linux. Това развитие подчертава продължаващите предизвикателства пред борсите за криптовалута и постоянната нужда от стабилни мерки за сигурност за защита срещу възникващи заплахи.
Съдържание
Анатомия на заплахата
Зловреден софтуер JokerSpy се появи, след като конкретен инструмент за защита на крайни точки откри подозрителен двоичен файл, наречен xcc. Жертвата, насочена към злонамерения софтуер, е известна борса за криптовалута в Япония. След като файлът xcc се появи, хакерите зад JokerSpy се опитаха да заобиколят защитите за сигурност на macOS, известни като TCC, които изискват изрично разрешение на потребителя за достъп на приложенията до чувствителни данни и ресурси. Актьорите на заплахата замениха съществуващата база данни на TCC със своя собствена, вероятно за да предотвратят появата на предупреждения, когато JokerSpy е активен. При предишни атаки хакерите използваха уязвимости в защитите на TCC, за да ги заобиколят, а изследователите демонстрираха подобни атаки.
Основният двигател на злонамерения софтуер JokerSpy има множество функции на задната вратичка, които позволяват неоторизирани действия и осигуряват контрол върху компрометираната система. Тези функции включват спиране на изпълнението на задната врата (sk), изброяване на файлове в определен път (l), изпълнение на команди на обвивката и връщане на изход (c), промяна на текущата директория и предоставяне на новия път (cd), изпълнение на код на Python в текущия контекст с помощта на предоставен параметър (xs), декодиране и изпълнение на Base64-кодиран Python код (xsi), премахване на файлове или директории от системата (r), изпълнение на файлове от системата с или без параметри (e), качване на файлове в заразената система (u), изтегляне на файлове от заразената система (d), извличане на текущата конфигурация на злонамерения софтуер от конфигурационния файл (g) и замяна на конфигурационния файл на злонамерения софтуер с нови стойности (w).
Тези команди позволяват на зловредния софтуер JokerSpy да извършва различни неоторизирани действия и да упражнява контрол над компрометираната система.
Както се съобщава, след като системата е компрометирана и заразена със злонамерен софтуер като JokerSpy, нападателят получава значителен контрол върху системата. Със задна вратичка обаче атакуващите могат дори да инсталират допълнителни компоненти дискретно и потенциално да изпълняват допълнителни експлойти, да наблюдават действията на потребителите, да събират идентификационни данни за вход или портфейли за криптовалута и да извършват други вредни дейности.
В момента векторът на инфекцията е неизвестен
Изследователите все още не са сигурни относно точния метод на инсталиране на JokerSpy. Някои твърдо вярват, че първоначалната точка за достъп за този зловреден софтуер е включвала опасен или компрометиран плъгин или зависимост от трета страна, която е предоставила на заплахата неоторизиран достъп. Тази теория е в съответствие с наблюденията, направени от изследователите на Bitdefender, които откриха твърдо кодиран домейн във версия на задната врата sh.py, свързваща към туитове, обсъждащи заразен четец на QR код на macOS с опасна зависимост. Също така беше отбелязано, че наблюдаваният актьор на заплаха вече е имал предварително съществуващ достъп до японската борса за криптовалута.
За да идентифицират потенциално насочване от JokerSpy, хората могат да търсят конкретни индикатори. Те включват криптографски хешове на различни проби от xcc и sh.py и контакт с домейни, като git-hub[.]me и app.influmarket[.]org. Докато JokerSpy първоначално остана незабелязан от повечето системи за сигурност, по-широка гама от машини вече може да го открие. Въпреки че няма потвърждение за съществуването на Windows или Linux версии на JokerSpy, важно е да сте наясно, че тази възможност съществува.
Борсата за криптовалута става жертва на безпрецедентна и опустошителна атака на зловреден софтуер за Mac екранни снимки
