Zadní vrátka JokerSpy

Výzkumníci v oblasti kybernetické bezpečnosti odhalili dříve neznámý malware pro Mac, který úspěšně infikoval burzu kryptoměn. Tento konkrétní malware, nazvaný JokerSpy, vyniká díky své rozsáhlé řadě schopností a představuje výraznou hrozbu pro bezpečnost a soukromí postižených systémů.

JokerSpy je vytvořen pomocí programovacího jazyka Python. Vykazuje širokou škálu škodlivých funkcí a jeho komplexní sada nástrojů mu umožňuje nejen vykrádat soukromá data, ale také stahovat a spouštět další škodlivé soubory. V důsledku toho mohou být oběti vystaveny ještě větším potenciálním škodám.

Zajímavé je, že JokerSpy využívá open-source nástroj s názvem SwiftBelt, který byl původně vytvořen pro legitimní bezpečnostní profesionály k posouzení zranitelnosti sítě. Toto přijetí legitimních nástrojů pro nekalé účely demonstruje přizpůsobivost a sofistikovanost malwaru.

Zatímco těžiště tohoto objevu se točí kolem malwaru Mac, stojí za zmínku, že výzkumníci také odhalili prvky naznačující existenci variant JokerSpy pro platformy Windows a Linux. To naznačuje, že tvůrci JokerSpy vyvinuli verze zaměřené na tyto populární operační systémy, čímž rozšířili jejich dosah a potenciální dopad na více platforem.

JokerSpy obchází bezpečnostní ochranu MacOS

Bylo pozorováno, že neznámý aktér hrozby za JokerSpy používá techniku k obcházení ochrany macOS Transparency, Consent and Control (TCC). Obvykle by vyžadovaly výslovné uživatelské oprávnění pro aplikace pro přístup k citlivým zdrojům na Macu, jako je pevný disk a kontakty nebo možnost nahrávat obrazovku.

K dosažení svého cíle nahradili aktéři hrozeb stávající databázi TCC svou vlastní, s cílem potlačit všechna upozornění, která by se obvykle spouštěla při spuštění malwaru JokerSpy. Předchozí útoky ukázaly, že aktéři hrozeb mohou využít zranitelnosti v rámci ochran TCC, aby je úspěšně obešli.

V tomto konkrétním případě hraje při exploitu klíčovou roli spustitelná složka xcc JokerSpy. Provádí kontrolu oprávnění TCC a určuje aktuálně aktivní aplikaci, se kterou uživatel interagoval. Následně přistoupí ke stažení a instalaci sh.py, primárního enginu zodpovědného za spouštění malwaru JokerSpy.

Využitím této metody se aktérům hrozeb podaří využít zranitelnosti nultého dne v systému macOS a poskytnout jim možnost pořizovat snímky obrazovky napadených zařízení Mac.

Vícenásobné hrozivé schopnosti nalezené v zadních vrátkách JokerSpy

Jakmile je systém napaden a infikován JokerSpy, útočník nad ním získá významnou kontrolu. Schopnosti této malwarové hrozby zahrnují širokou škálu funkcí a akcí, které lze provést v souladu s konkrétními cíli útočníků.

Tyto funkce zahrnují schopnost zastavit provádění zadních vrátek JokerSpy přítomného v narušeném zařízení. Malware navíc umožňuje útočníkovi vypisovat soubory umístěné na zadané cestě, spouštět příkazy shellu a získávat jejich výstup, procházet a měnit adresáře a spouštět kód Pythonu v aktuálním kontextu.

JokerSpy má také schopnost dekódovat kód Pythonu kódovaný Base64 poskytnutý jako parametr, zkompilovat jej a následně spustit v infikovaném systému. Malware navíc umožňuje útočníkovi mazat soubory nebo adresáře z napadeného systému, spouštět soubory s parametry nebo bez parametrů, nahrávat soubory do infikovaného systému a stahovat soubory z infikovaného systému.

Útočníci mohou také instruovat JokerSpy, aby načetl aktuální konfiguraci malwaru uloženého v konfiguračním souboru. Útočník může k této konfiguraci přistupovat a manipulovat s ní tak, aby vyhovovala jeho cílům, protože může přepsat existující konfigurační soubor novými hodnotami, které jsou v souladu s jeho nekalými úmysly.

Předvedením těchto různých funkcí a akcí poskytuje JokerSpy útočníkovi komplexní sadu nástrojů k výkonu kontroly a provádění škodlivých aktivit v napadeném systému. Tyto schopnosti podtrhují závažnost a potenciální dopad malwarových infekcí a zdůrazňují zásadní význam implementace robustních bezpečnostních opatření pro prevenci a zmírnění takových hrozeb.