Porta del darrere de JokerSpy
Els investigadors de ciberseguretat han descobert un programari maliciós Mac desconegut anteriorment que ha infectat amb èxit un intercanvi de criptomoneda. Aquest programari maliciós en particular, anomenat JokerSpy, destaca per la seva àmplia gamma de capacitats, que suposa una amenaça expressiva per a la seguretat i privadesa dels sistemes afectats.
JokerSpy està creat amb el llenguatge de programació Python. Presenta una àmplia gamma de funcionalitats malicioses i el seu complet conjunt d'eines li permet no només robar dades privades, sinó també descarregar i executar fitxers maliciosos addicionals. Com a resultat, les víctimes podrien patir danys potencials encara més grans.
Curiosament, JokerSpy aprofita una eina de codi obert anomenada SwiftBelt, creada originalment per a professionals de la seguretat legítims per avaluar les vulnerabilitats de la xarxa. Aquesta adopció d'eines legítimes amb finalitats nefastes demostra l'adaptabilitat i la sofisticació del programari maliciós.
Tot i que el focus d'aquest descobriment gira al voltant del programari maliciós de Mac, val la pena assenyalar que els investigadors també han detectat elements que indiquen l'existència de variants de JokerSpy per a plataformes Windows i Linux. Això suggereix que els creadors de JokerSpy han desenvolupat versions dirigides a aquests sistemes operatius populars, ampliant així el seu abast i impacte potencial a diverses plataformes.
JokerSpy evita les proteccions de seguretat de MacOS
S'ha observat que l'actor d'amenaces no identificat darrere de JokerSpy utilitza una tècnica per eludir les proteccions de transparència, consentiment i control (TCC) de macOS. Normalment, requeririen un permís explícit de l'usuari perquè les aplicacions accedeixin a recursos sensibles en un Mac, com ara el disc dur i els contactes o la capacitat de gravar la pantalla.
Per aconseguir el seu objectiu, els actors de l'amenaça van substituir la base de dades TCC existent per la seva pròpia, amb l'objectiu de suprimir qualsevol alerta que normalment s'activaria quan s'executa el programari maliciós JokerSpy. Els atacs anteriors han demostrat que els actors de les amenaces poden explotar les vulnerabilitats de les proteccions TCC per evitar-les amb èxit.
En aquest cas particular, el component executable xcc de JokerSpy té un paper crucial en l'explotació. Realitza una comprovació dels permisos TCC, determinant l'aplicació actualment activa amb la qual l'usuari estava interactuant. Posteriorment, es procedeix a descarregar i instal·lar sh.py, el motor principal responsable d'executar el programari maliciós JokerSpy.
Mitjançant aquest mètode, els actors de l'amenaça aconsegueixen aprofitar una vulnerabilitat de dia zero a macOS, atorgant-los la possibilitat de capturar captures de pantalla de dispositius Mac compromesos.
Les múltiples capacitats d'amenaça que es troben a la porta posterior de JokerSpy
Una vegada que un sistema es veu compromès i infectat amb JokerSpy, l'atacant obté un control important sobre ell. Les capacitats que mostra aquesta amenaça de programari maliciós inclouen una àmplia gamma de funcions i accions que es poden executar d'acord amb els objectius específics dels atacants.
Aquestes funcions inclouen la possibilitat d'aturar l'execució de la porta posterior de JokerSpy present al dispositiu trencat. A més, el programari maliciós permet a l'atacant llistar fitxers situats en un camí especificat, executar ordres de l'intèrpret d'ordres i recuperar la seva sortida, navegar i canviar directoris i executar codi Python dins del context actual.
JokerSpy també té la capacitat de descodificar el codi Python codificat en Base64 proporcionat com a paràmetre, compilar-lo i, posteriorment, executar-lo dins del sistema infectat. A més, el programari maliciós permet a l'atacant eliminar fitxers o directoris del sistema compromès, executar fitxers amb o sense paràmetres, carregar fitxers al sistema infectat i descarregar fitxers del sistema infectat.
Els atacants també poden indicar a JokerSpy que recuperi la configuració actual del programari maliciós emmagatzemat al fitxer de configuració. L'atacant pot accedir a aquesta configuració i manipular-la per adaptar-se als seus objectius, ja que poden substituir el fitxer de configuració existent amb nous valors que s'alineen amb les seves intencions malicioses.
En mostrar aquestes diferents funcions i accions, JokerSpy proporciona a l'atacant un conjunt complet d'eines per exercir el control i dur a terme activitats malicioses dins del sistema compromès. Aquestes capacitats subratllen la gravetat i l'impacte potencial de les infeccions de programari maliciós, posant l'accent en la importància crítica d'implementar mesures de seguretat sòlides per prevenir i mitigar aquestes amenaces.
