JokerSpy Bagdør

Cybersikkerhedsforskere har afsløret en tidligere ukendt Mac-malware, der med succes har inficeret en kryptovalutabørs. Denne særlige malware, kaldet JokerSpy, skiller sig ud på grund af dens omfattende række af muligheder, der udgør en udtryksfuld trussel mod sikkerheden og privatlivet for berørte systemer.

JokerSpy er lavet ved hjælp af Python-programmeringssproget. Den udviser en bred vifte af ondsindede funktioner, og dens omfattende pakke af værktøjer gør den i stand til ikke kun at stjæle private data, men også at downloade og udføre yderligere ondsindede filer. Som følge heraf kan ofre blive udsat for endnu større potentiel skade.

Interessant nok udnytter JokerSpy et open source-værktøj ved navn SwiftBelt, der oprindeligt er skabt til legitime sikkerhedsprofessionelle til at vurdere netværkssårbarheder. Denne indførelse af legitime værktøjer til ondsindede formål demonstrerer malwarens tilpasningsevne og sofistikerede.

Mens fokus for denne opdagelse drejer sig om Mac-malware, er det værd at bemærke, at forskerne også har opdaget elementer, der indikerer eksistensen af JokerSpy-varianter til Windows- og Linux-platforme. Dette tyder på, at skaberne af JokerSpy har udviklet versioner rettet mod disse populære operativsystemer og derved udvidet deres rækkevidde og potentielle effekt på tværs af flere platforme.

JokerSpy omgår MacOS-sikkerhedsbeskyttelsen

Det er blevet observeret, at den uidentificerede trusselsaktør bag JokerSpy anvender en teknik til at omgå macOS Transparency, Consent, and Control (TCC)-beskyttelsen. Normalt ville de kræve eksplicit brugertilladelse for, at programmer kan få adgang til følsomme ressourcer på en Mac, såsom harddisken og kontakter eller muligheden for at optage skærmen.

For at nå deres mål erstattede trusselsaktørerne den eksisterende TCC-database med deres egen, med det formål at undertrykke alle advarsler, der typisk vil blive udløst, når JokerSpy-malwaren udføres. Tidligere angreb har vist, at trusselsaktører kan udnytte sårbarheder inden for TCC-beskyttelsen til at omgå dem med succes.

I dette særlige tilfælde spiller den eksekverbare xcc-komponent af JokerSpy en afgørende rolle i udnyttelsen. Den udfører en kontrol af TCC-tilladelserne og bestemmer den aktuelt aktive applikation, som brugeren interagerede med. Efterfølgende fortsætter det med at downloade og installere sh.py, den primære motor, der er ansvarlig for at køre JokerSpy malware.

Ved at bruge denne metode formår trusselsaktørerne at drage fordel af en nul-dages sårbarhed i macOS, hvilket giver dem mulighed for at tage skærmbilleder af kompromitterede Mac-enheder.

De flere truende egenskaber fundet i JokerSpy-bagdøren

Når først et system bliver kompromitteret og inficeret med JokerSpy, får angriberen betydelig kontrol over det. De muligheder, som denne malwaretrussel udviser, omfatter en lang række funktioner og handlinger, der kan udføres i overensstemmelse med angriberens specifikke mål.

Disse funktioner inkluderer muligheden for at stoppe udførelsen af JokerSpy-bagdøren, der er til stede i den brudte enhed. Derudover sætter malwaren angriberen i stand til at liste filer placeret i en specificeret sti, udføre shell-kommandoer og hente deres output, navigere og ændre mapper og udføre Python-kode i den aktuelle kontekst.

JokerSpy besidder også evnen til at afkode Base64-kodet Python-kode leveret som en parameter, kompilere den og efterfølgende udføre den i det inficerede system. Desuden sætter malwaren angriberen i stand til at slette filer eller mapper fra det kompromitterede system, udføre filer med eller uden parametre, uploade filer til det inficerede system og downloade filer fra det inficerede system.

Angriberne kan også instruere JokerSpy om at hente den aktuelle konfiguration af malware, der er gemt i konfigurationsfilen. Denne konfiguration kan tilgås og manipuleres af angriberen, så den passer til deres mål, da de kan tilsidesætte den eksisterende konfigurationsfil med nye værdier, der stemmer overens med deres ondsindede hensigter.

Ved at udstille disse forskellige funktioner og handlinger giver JokerSpy angriberen et omfattende sæt værktøjer til at udøve kontrol og udføre ondsindede aktiviteter i det kompromitterede system. Disse egenskaber understreger alvoren og den potentielle virkning af malware-infektioner og understreger den afgørende betydning af at implementere robuste sikkerhedsforanstaltninger for at forhindre og afbøde sådanne trusler.