Kryptoměnová burza se stala obětí bezprecedentního a ničivého malwarového útoku na Mac
V nedávném objevu výzkumníci odhalili nový druh malwaru Mac, který se zaměřoval na burzu kryptoměn, což představuje významnou hrozbu pro bezpečnost finančních prostředků uživatelů. Tento sofistikovaný malware, pojmenovaný JokerSpy, vykazuje širokou škálu schopností, včetně krádeže dat, stahování a spouštění ohrožujících souborů a potenciální funkčnosti napříč platformami. JokerSpy, napsaný v Pythonu, využívá SwiftBelt, open-source nástroj původně určený pro legitimní testování bezpečnosti. Počáteční odhalení JokerSpy vyšlo najevo prostřednictvím bezpečnostní zprávy, která odhalila jeho existenci a vyvolala obavy ohledně jeho potenciální dostupnosti na platformách Windows a Linux. Tento vývoj zdůrazňuje neustálé výzvy kryptoměnových burz a neustálou potřebu robustních bezpečnostních opatření k ochraně před vznikajícími hrozbami.
Obsah
Anatomie hrozby
Malware JokerSpy se objevil poté, co konkrétní nástroj ochrany koncových bodů detekoval podezřelý binární soubor s názvem xcc. Obětí, na kterou se malware zaměřil, byla známá burza kryptoměn v Japonsku. Jakmile se objevil soubor xcc, hackeři za JokerSpy se pokusili obejít bezpečnostní ochranu macOS, známou jako TCC, která vyžaduje výslovné uživatelské oprávnění pro aplikace pro přístup k citlivým datům a zdrojům. Aktéři hrozeb nahradili stávající databázi TCC svou vlastní, což pravděpodobně zabrání zobrazování výstrah, když byl JokerSpy aktivní. V předchozích útocích hackeři zneužili zranitelnosti v ochranách TCC, aby je obešli, a výzkumníci prokázali podobné útoky.
Hlavní motor malwaru JokerSpy má několik funkcí zadních vrátek, které umožňují neoprávněné akce a poskytují kontrolu nad napadeným systémem. Tyto funkce zahrnují zastavení provádění zadních vrátek (sk), výpis souborů v zadané cestě (l), provádění příkazů shellu a vracení výstupu (c), změnu aktuálního adresáře a poskytnutí nové cesty (cd), provádění kódu Pythonu v rámci aktuální kontext pomocí poskytnutého parametru (xs), dekódování a spouštění kódu Pythonu kódovaného Base64 (xsi), odstraňování souborů nebo adresářů ze systému (r), spouštění souborů ze systému s parametry nebo bez parametrů (e), nahrávání souborů do infikovaný systém (u), stahování souborů z infikovaného systému (d), načtení aktuální konfigurace malwaru z konfiguračního souboru (g) a přepsání konfiguračního souboru malwaru novými hodnotami (w).
Tyto příkazy umožňují malwaru JokerSpy provádět různé neoprávněné akce a vykonávat kontrolu nad napadeným systémem.
Jak bylo oznámeno, jakmile je systém kompromitován a infikován malwarem, jako je JokerSpy, útočník získá významnou kontrolu nad systémem. Pomocí zadních vrátek však útočníci mohou dokonce instalovat další komponenty diskrétně a potenciálně provádět další exploity, pozorovat akce uživatelů, sbírat přihlašovací údaje nebo kryptoměnové peněženky a provádět další škodlivé aktivity.
Vektor infekce momentálně neznámý
Výzkumníci si stále nejsou jisti přesnou metodou instalace JokerSpy. Někteří jsou pevně přesvědčeni, že počáteční přístupový bod pro tento malware zahrnoval nebezpečný nebo kompromitovaný plugin nebo závislost na třetí straně, která poskytla aktérovi hrozby neoprávněný přístup. Tato teorie je v souladu s pozorováním výzkumníků Bitdefenderu, kteří našli pevně zakódovanou doménu ve verzi backdoor sh.py odkazující na tweety pojednávající o infikované čtečce QR kódů macOS s nebezpečnou závislostí. Bylo také poznamenáno, že sledovaný aktér hrozby již měl předem existující přístup k japonské burze kryptoměn.
Pro identifikaci potenciálního cílení pomocí JokerSpy mohou jednotlivci hledat konkrétní indikátory. Patří mezi ně kryptografické hashe různých vzorků xcc a sh.py a kontakt s doménami, jako je git-hub[.]me a app.influmarket[.]org. Zatímco si JokerSpy zpočátku většina bezpečnostních enginů nevšimla, nyní jej dokáže detekovat širší řada enginů. Přestože neexistuje žádné potvrzení o existenci verzí JokerSpy pro Windows nebo Linux, je nezbytné si uvědomit, že tato možnost existuje.
Kryptoměnová burza se stala obětí bezprecedentního a ničivého malwarového útoku na Mac snímků obrazovky
