L'intercanvi de criptomonedes és víctima d'un atac de programari maliciós per a Mac sense precedents i devastador
En un descobriment recent, els investigadors han descobert una nova varietat de programari maliciós de Mac que s'ha dirigit a un intercanvi de criptomoneda, cosa que suposa una amenaça important per a la seguretat dels fons dels usuaris. Aquest sofisticat programari maliciós, anomenat JokerSpy, presenta una àmplia gamma de capacitats, com ara robatori de dades, descàrrega i execució de fitxers amenaçadors i potencial funcionalitat multiplataforma. Escrit en Python, JokerSpy aprofita SwiftBelt, una eina de codi obert destinada inicialment a proves de seguretat legítimes. L'exposició inicial de JokerSpy va sortir a la llum a través d'un informe de seguretat, que va revelar la seva existència i va generar preocupacions sobre la seva possible disponibilitat a les plataformes Windows i Linux. Aquest desenvolupament posa de manifest els reptes constants dels intercanvis de criptomonedes i la necessitat constant de mesures de seguretat sòlides per protegir-se de les amenaces emergents.
Taula de continguts
Anatomia de l'amenaça
El programari maliciós JokerSpy va sorgir després que una eina de protecció de punt final particular detectés un fitxer binari sospitós anomenat xcc. La víctima atacada pel programari maliciós era un conegut intercanvi de criptomoneda al Japó. Un cop va sorgir el fitxer xcc, els pirates informàtics darrere de JokerSpy van intentar evitar les proteccions de seguretat de macOS, conegudes com a TCC, que requereixen permís explícit de l'usuari perquè les aplicacions accedeixin a dades i recursos sensibles. Els actors de l'amenaça van substituir la base de dades TCC existent per la seva pròpia, probablement per evitar que apareguessin alertes quan JokerSpy estava actiu. En atacs anteriors, els pirates informàtics van explotar les vulnerabilitats de les proteccions TCC per evitar-les, i els investigadors han demostrat atacs similars.
El motor principal del programari maliciós JokerSpy té múltiples funcionalitats de porta posterior que permeten accions no autoritzades i proporcionen control sobre el sistema compromès. Aquestes funcionalitats inclouen aturar l'execució de la porta del darrere (sk), llistar fitxers en una ruta especificada (l), executar ordres de l'intèrpret d'ordres i retornar la sortida (c), canviar el directori actual i proporcionar la nova ruta (cd), executar codi Python dins de el context actual utilitzant un paràmetre proporcionat (xs), descodificant i executant codi Python codificat en Base64 (xsi), eliminant fitxers o directoris del sistema (r), executant fitxers del sistema amb o sense paràmetres (e), carregant fitxers a el sistema infectat (u), baixant fitxers del sistema infectat (d), recuperant la configuració actual del programari maliciós del fitxer de configuració (g) i anul·lant el fitxer de configuració del programari maliciós amb nous valors (w).
Aquestes ordres permeten que el programari maliciós JokerSpy realitzi diverses accions no autoritzades i controli el sistema compromès.
Tal com es va informar, un cop compromès i infectat un sistema amb un programari maliciós com JokerSpy, l'atacant obté un control important sobre el sistema. Amb una porta posterior, però, els atacants poden fins i tot instal·lar components addicionals de manera discreta i, potencialment, executar més explotacions, observar les accions dels usuaris, recollir credencials d'inici de sessió o carteres de criptomoneda i realitzar altres activitats perjudicials.
Vector d'infecció actualment desconegut
Els investigadors encara no estan segurs sobre el mètode precís d'instal·lació de JokerSpy. Alguns creuen fermament que el punt d'accés inicial d'aquest programari maliciós implicava un connector insegur o compromès o una dependència de tercers que proporcionava a l'actor de l'amenaça un accés no autoritzat. Aquesta teoria s'alinea amb les observacions fetes pels investigadors de Bitdefender, que van trobar un domini codificat en una versió de la porta del darrere sh.py que enllaçava amb tuits que parlaven d'un lector de codi QR de macOS infectat amb una dependència no segura. També es va assenyalar que l'actor d'amenaça observat ja tenia accés preexistent a l'intercanvi de criptomoneda japonès.
Per identificar l'orientació potencial de JokerSpy, els individus poden buscar indicadors específics. Aquests inclouen hash criptogràfics de diferents mostres de xcc i sh.py i contacte amb dominis, com ara git-hub[.]me i app.influmarket[.]org. Tot i que JokerSpy inicialment va passar desapercebut per a la majoria de motors de seguretat, ara una gamma més àmplia de motors el poden detectar. Tot i que no hi ha confirmació de l'existència de versions de JokerSpy per a Windows o Linux, és fonamental ser conscient que aquesta possibilitat existeix.
L’intercanvi de criptomonedes és víctima d’un atac de programari maliciós per a Mac sense precedents i devastador captures de pantalla
