Εκπτώσεις πολλαπλών αδειών
Computer Security Το Cryptocurrency Exchange πέφτει θύμα μιας άνευ...

Το Cryptocurrency Exchange πέφτει θύμα μιας άνευ προηγουμένου και καταστροφικής επίθεσης κακόβουλου λογισμικού Mac

Μέχρι το Chance το Computer Security
Μετάφραση σε:
Ελληνικά

Σε μια πρόσφατη ανακάλυψη, οι ερευνητές ανακάλυψαν ένα νέο είδος κακόβουλου λογισμικού Mac που έχει στοχεύσει ένα χρηματιστήριο κρυπτονομισμάτων, αποτελώντας σημαντική απειλή για την ασφάλεια των κεφαλαίων των χρηστών. Αυτό το εξελιγμένο κακόβουλο λογισμικό, που ονομάζεται JokerSpy, παρουσιάζει ένα ευρύ φάσμα δυνατοτήτων, όπως κλοπή δεδομένων, λήψη και εκτέλεση απειλητικών αρχείων και πιθανή λειτουργία πολλαπλών πλατφορμών. Γραμμένο σε Python, το JokerSpy αξιοποιεί το SwiftBelt, ένα εργαλείο ανοιχτού κώδικα που αρχικά προοριζόταν για νόμιμες δοκιμές ασφάλειας. Η αρχική έκθεση του JokerSpy ήρθε στο φως μέσω μιας αναφοράς ασφαλείας, αποκαλύπτοντας την ύπαρξή του και εγείροντας ανησυχίες για την πιθανή διαθεσιμότητά του σε πλατφόρμες Windows και Linux. Αυτή η εξέλιξη υπογραμμίζει τις συνεχείς προκλήσεις των ανταλλακτηρίων κρυπτονομισμάτων και τη συνεχή ανάγκη για ισχυρά μέτρα ασφαλείας για προστασία από αναδυόμενες απειλές.

Ανατομία της Απειλής

Το κακόβουλο λογισμικό JokerSpy εμφανίστηκε αφού ένα συγκεκριμένο εργαλείο προστασίας τελικού σημείου εντόπισε ένα ύποπτο δυαδικό αρχείο που ονομάζεται xcc. Το θύμα που στοχοποιήθηκε από το κακόβουλο λογισμικό ήταν ένα πολύ γνωστό ανταλλακτήριο κρυπτονομισμάτων στην Ιαπωνία. Μόλις εμφανίστηκε το αρχείο xcc, οι χάκερ πίσω από το JokerSpy προσπάθησαν να παρακάμψουν τις προστασίες ασφαλείας του macOS, γνωστές ως TCC, οι οποίες απαιτούν ρητή άδεια χρήστη για τις εφαρμογές να έχουν πρόσβαση σε ευαίσθητα δεδομένα και πόρους. Οι παράγοντες απειλών αντικατέστησαν την υπάρχουσα βάση δεδομένων TCC με τη δική τους, πιθανόν να αποτρέψουν την εμφάνιση ειδοποιήσεων όταν το JokerSpy ήταν ενεργό. Σε προηγούμενες επιθέσεις, οι χάκερ εκμεταλλεύτηκαν ευπάθειες στις προστασίες του TCC για να τις παρακάμψουν και οι ερευνητές έχουν επιδείξει παρόμοιες επιθέσεις.

Η κύρια μηχανή του κακόβουλου λογισμικού JokerSpy έχει πολλαπλές λειτουργίες backdoor που επιτρέπουν μη εξουσιοδοτημένες ενέργειες και παρέχουν έλεγχο στο παραβιασμένο σύστημα. Αυτές οι λειτουργίες περιλαμβάνουν τη διακοπή της εκτέλεσης του backdoor (sk), την καταχώριση αρχείων σε μια καθορισμένη διαδρομή (l), την εκτέλεση εντολών φλοιού και την επιστροφή εξόδου (c), την αλλαγή του τρέχοντος καταλόγου και την παροχή της νέας διαδρομής (cd), την εκτέλεση κώδικα Python εντός το τρέχον περιβάλλον χρησιμοποιώντας μια παρεχόμενη παράμετρο (xs), αποκωδικοποίηση και εκτέλεση κώδικα Python με κωδικοποίηση Base64 (xsi), αφαίρεση αρχείων ή καταλόγων από το σύστημα (r), εκτέλεση αρχείων από το σύστημα με ή χωρίς παραμέτρους (e), μεταφόρτωση αρχείων σε το μολυσμένο σύστημα (u), τη λήψη αρχείων από το μολυσμένο σύστημα (d), την ανάκτηση της τρέχουσας διαμόρφωσης του κακόβουλου λογισμικού από το αρχείο διαμόρφωσης (g) και την παράκαμψη του αρχείου διαμόρφωσης του κακόβουλου λογισμικού με νέες τιμές (w).

Αυτές οι εντολές επιτρέπουν στο κακόβουλο λογισμικό JokerSpy να εκτελεί διάφορες μη εξουσιοδοτημένες ενέργειες και να ασκεί έλεγχο στο παραβιασμένο σύστημα.

Όπως αναφέρθηκε, μόλις ένα σύστημα παραβιαστεί και μολυνθεί με ένα κακόβουλο λογισμικό όπως το JokerSpy, ο εισβολέας αποκτά σημαντικό έλεγχο στο σύστημα. Ωστόσο, με μια κερκόπορτα, οι εισβολείς μπορούν ακόμη και να εγκαταστήσουν πρόσθετα στοιχεία διακριτικά και ενδεχομένως να εκτελέσουν περαιτέρω εκμεταλλεύσεις, να παρατηρήσουν τις ενέργειες των χρηστών, να συλλέξουν διαπιστευτήρια σύνδεσης ή πορτοφόλια κρυπτονομισμάτων και να πραγματοποιήσουν άλλες επιβλαβείς δραστηριότητες.

Άγνωστος επί του παρόντος φορέας μόλυνσης

Οι ερευνητές εξακολουθούν να είναι αβέβαιοι για την ακριβή μέθοδο εγκατάστασης του JokerSpy. Ορισμένοι πιστεύουν ακράδαντα ότι το αρχικό σημείο πρόσβασης για αυτό το κακόβουλο λογισμικό περιλάμβανε μια μη ασφαλή ή παραβιασμένη προσθήκη ή εξάρτηση από τρίτο μέρος που παρείχε στον παράγοντα απειλής μη εξουσιοδοτημένη πρόσβαση. Αυτή η θεωρία ευθυγραμμίζεται με τις παρατηρήσεις των ερευνητών του Bitdefender, οι οποίοι βρήκαν έναν σκληρό κώδικα τομέα σε μια έκδοση του backdoor sh.py που συνδέεται με tweets που συζητούν έναν μολυσμένο αναγνώστη κώδικα macOS QR με μια μη ασφαλή εξάρτηση. Σημειώθηκε επίσης ότι ο παρατηρούμενος παράγοντας απειλής είχε ήδη προϋπάρχουσα πρόσβαση στο ιαπωνικό ανταλλακτήριο κρυπτονομισμάτων.

Για τον εντοπισμό πιθανής στόχευσης από το JokerSpy, τα άτομα μπορούν να αναζητήσουν συγκεκριμένους δείκτες. Αυτά περιλαμβάνουν κρυπτογραφικούς κατακερματισμούς διαφορετικών δειγμάτων xcc και sh.py και επαφή με τομείς, όπως το git-hub[.]me και το app.influmarket[.]org. Ενώ το JokerSpy αρχικά πέρασε απαρατήρητο από τις περισσότερες μηχανές ασφαλείας, ένα ευρύτερο φάσμα κινητήρων μπορεί τώρα να το ανιχνεύσει. Αν και δεν υπάρχει επιβεβαίωση για την ύπαρξη εκδόσεων Windows ή Linux του JokerSpy, είναι σημαντικό να γνωρίζετε ότι υπάρχει αυτή η δυνατότητα.

Το Cryptocurrency Exchange πέφτει θύμα μιας άνευ προηγουμένου και καταστροφικής επίθεσης κακόβουλου λογισμικού Mac Στιγμιότυπα οθόνης

Φόρτωση...