JokerSpy Backdoor

Изследователите на киберсигурността са открили неизвестен досега злонамерен софтуер за Mac, който успешно е заразил обмен на криптовалута. Този конкретен злонамерен софтуер, наречен JokerSpy, се отличава с широкия си набор от възможности, представляващ изразителна заплаха за сигурността и поверителността на засегнатите системи.

JokerSpy е създаден с помощта на езика за програмиране Python. Той показва широк спектър от злонамерени функции и неговият изчерпателен пакет от инструменти му позволява не само да краде лични данни, но също така да изтегля и изпълнява допълнителни злонамерени файлове. В резултат на това жертвите могат да бъдат подложени на още по-големи потенциални щети.

Интересното е, че JokerSpy използва инструмент с отворен код, наречен SwiftBelt, първоначално създаден за законни професионалисти по сигурността за оценка на уязвимостите на мрежата. Това приемане на законни инструменти за злонамерени цели демонстрира адаптивността и сложността на злонамерения софтуер.

Въпреки че фокусът на това откритие се върти около зловреден софтуер за Mac, заслужава да се отбележи, че изследователите също са открили елементи, показващи съществуването на варианти на JokerSpy за платформи Windows и Linux. Това предполага, че създателите на JokerSpy са разработили версии, насочени към тези популярни операционни системи, като по този начин разширяват техния обхват и потенциално въздействие върху множество платформи.

JokerSpy заобикаля защитите за сигурност на MacOS

Неидентифицираният участник в заплахата зад JokerSpy е наблюдаван да използва техника за заобикаляне на защитите за прозрачност, съгласие и контрол (TCC) на macOS. Обикновено те ще изискват изрично разрешение от потребителя за достъп на приложения до чувствителни ресурси на Mac, като например твърд диск и контакти или възможност за запис на екрана.

За да постигнат целта си, участниците в заплахата замениха съществуващата база данни на TCC със своя собствена, с цел да потиснат всички предупреждения, които обикновено се задействат, когато се изпълни зловреден софтуер JokerSpy. Предишни атаки показаха, че участниците в заплахите могат да използват уязвимости в защитите на TCC, за да ги заобиколят успешно.

В този конкретен случай xcc изпълнимият компонент на JokerSpy играе решаваща роля в експлойта. Той извършва проверка на TCC разрешенията, като определя текущо активното приложение, с което потребителят е взаимодействал. Впоследствие той продължава да изтегля и инсталира sh.py, основната машина, отговорна за стартирането на злонамерения софтуер JokerSpy.

Използвайки този метод, участниците в заплахата успяват да се възползват от уязвимост от нулев ден в macOS, предоставяйки им възможността да заснемат екранни снимки на компрометирани Mac устройства.

Множеството заплашителни възможности, открити в задната врата на JokerSpy

След като системата бъде компрометирана и заразена с JokerSpy, нападателят придобива значителен контрол върху нея. Възможностите, демонстрирани от тази заплаха от зловреден софтуер, обхващат широк набор от функции и действия, които могат да бъдат изпълнени в съответствие със специфичните цели на нападателите.

Тези функции включват възможността за спиране на изпълнението на задната врата на JokerSpy, присъстваща в пробитото устройство. Освен това злонамереният софтуер позволява на атакуващия да изброява файлове, разположени в определен път, да изпълнява команди на обвивката и да извлича техния изход, да навигира и променя директории и да изпълнява код на Python в текущия контекст.

JokerSpy също притежава способността да декодира Base64-кодиран код на Python, предоставен като параметър, да го компилира и впоследствие да го изпълни в рамките на заразената система. Освен това зловредният софтуер позволява на атакуващия да изтрива файлове или директории от компрометираната система, да изпълнява файлове с или без параметри, да качва файлове в заразената система и да изтегля файлове от заразената система.

Нападателите могат също така да инструктират JokerSpy да извлече текущата конфигурация на зловреден софтуер, съхранен в конфигурационния файл. Тази конфигурация може да бъде достъпна и манипулирана от атакуващия, за да отговаря на техните цели, тъй като те могат да заменят съществуващия конфигурационен файл с нови стойности, които са в съответствие с техните злонамерени намерения.

Като показва тези различни функции и действия, JokerSpy предоставя на атакуващия изчерпателен набор от инструменти за упражняване на контрол и извършване на злонамерени дейности в рамките на компрометираната система. Тези възможности подчертават сериозността и потенциалното въздействие на инфекциите със злонамерен софтуер, като подчертават критичното значение на прилагането на стабилни мерки за сигурност за предотвратяване и смекчаване на подобни заплахи.