Εκπτώσεις πολλαπλών αδειών
Threat Database Mac Malware JokerSpy Backdoor

JokerSpy Backdoor

Μέχρι το Mezo το Mac Malware, Backdoors
Μετάφραση σε:
Ελληνικά

Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν ένα άγνωστο στο παρελθόν κακόβουλο λογισμικό Mac που έχει μολύνει επιτυχώς μια ανταλλαγή κρυπτονομισμάτων. Το συγκεκριμένο κακόβουλο λογισμικό, που ονομάζεται JokerSpy, ξεχωρίζει λόγω του εκτεταμένου φάσματος δυνατοτήτων του, αποτελώντας εκφραστική απειλή για την ασφάλεια και το απόρρητο των επηρεαζόμενων συστημάτων.

Το JokerSpy έχει δημιουργηθεί χρησιμοποιώντας τη γλώσσα προγραμματισμού Python. Παρουσιάζει ένα ευρύ φάσμα κακόβουλων λειτουργιών και η ολοκληρωμένη σουίτα εργαλείων του επιτρέπει όχι μόνο να κλέβει προσωπικά δεδομένα αλλά και να κατεβάζει και να εκτελεί επιπλέον κακόβουλα αρχεία. Ως αποτέλεσμα, τα θύματα θα μπορούσαν να υποστούν ακόμη μεγαλύτερη πιθανή ζημιά.

Είναι ενδιαφέρον ότι το JokerSpy αξιοποιεί ένα εργαλείο ανοιχτού κώδικα που ονομάζεται SwiftBelt, το οποίο δημιουργήθηκε αρχικά για νόμιμους επαγγελματίες ασφαλείας για την αξιολόγηση των τρωτών σημείων του δικτύου. Αυτή η υιοθέτηση νόμιμων εργαλείων για κακόβουλους σκοπούς καταδεικνύει την προσαρμοστικότητα και την πολυπλοκότητα του κακόβουλου λογισμικού.

Ενώ το επίκεντρο αυτής της ανακάλυψης περιστρέφεται γύρω από το κακόβουλο λογισμικό Mac, αξίζει να σημειωθεί ότι οι ερευνητές έχουν επίσης εντοπίσει στοιχεία που υποδηλώνουν την ύπαρξη παραλλαγών JokerSpy για πλατφόρμες Windows και Linux. Αυτό υποδηλώνει ότι οι δημιουργοί του JokerSpy έχουν αναπτύξει εκδόσεις που στοχεύουν αυτά τα δημοφιλή λειτουργικά συστήματα, επεκτείνοντας έτσι την εμβέλειά τους και τον πιθανό αντίκτυπό τους σε πολλές πλατφόρμες.

Το JokerSpy παρακάμπτει τις προστασίες ασφαλείας MacOS

Ο άγνωστος παράγοντας απειλής πίσω από το JokerSpy έχει παρατηρηθεί ότι χρησιμοποιεί μια τεχνική για να παρακάμψει τις προστασίες διαφάνειας, συναίνεσης και ελέγχου του macOS (TCC). Συνήθως, θα απαιτούσαν ρητή άδεια χρήστη για τις εφαρμογές να έχουν πρόσβαση σε ευαίσθητους πόρους σε Mac, όπως ο σκληρός δίσκος και οι επαφές ή η δυνατότητα εγγραφής της οθόνης.

Για να επιτύχουν τον στόχο τους, οι φορείς απειλών αντικατέστησαν την υπάρχουσα βάση δεδομένων TCC με τη δική τους, με στόχο να καταστείλουν τυχόν ειδοποιήσεις που συνήθως θα ενεργοποιούνταν κατά την εκτέλεση του κακόβουλου λογισμικού JokerSpy. Προηγούμενες επιθέσεις έχουν δείξει ότι οι φορείς απειλών μπορούν να εκμεταλλευτούν τις ευπάθειες εντός των προστασιών TCC για να τις παρακάμψουν με επιτυχία.

Στη συγκεκριμένη περίπτωση, το εκτελέσιμο στοιχείο xcc του JokerSpy παίζει καθοριστικό ρόλο στο exploit. Πραγματοποιεί έλεγχο στα δικαιώματα TCC, προσδιορίζοντας την τρέχουσα ενεργή εφαρμογή με την οποία αλληλεπιδρούσε ο χρήστης. Στη συνέχεια, προχωρά στη λήψη και εγκατάσταση του sh.py, της κύριας μηχανής που είναι υπεύθυνη για τη λειτουργία του κακόβουλου λογισμικού JokerSpy.

Χρησιμοποιώντας αυτή τη μέθοδο, οι φορείς απειλών καταφέρνουν να εκμεταλλευτούν μια ευπάθεια zero-day στο macOS, δίνοντάς τους τη δυνατότητα να τραβήξουν στιγμιότυπα οθόνης παραβιασμένων συσκευών Mac.

Οι πολλαπλές απειλητικές δυνατότητες που βρέθηκαν στο JokerSpy Backdoor

Μόλις ένα σύστημα παραβιαστεί και μολυνθεί με το JokerSpy, ο εισβολέας αποκτά σημαντικό έλεγχο πάνω του. Οι δυνατότητες που παρουσιάζονται από αυτήν την απειλή κακόβουλου λογισμικού περιλαμβάνουν ένα ευρύ φάσμα λειτουργιών και ενεργειών που μπορούν να εκτελεστούν σύμφωνα με τους συγκεκριμένους στόχους των εισβολέων.

Αυτές οι λειτουργίες περιλαμβάνουν τη δυνατότητα διακοπής της εκτέλεσης της κερκόπορτας JokerSpy που υπάρχει στη συσκευή που έχει παραβιαστεί. Επιπλέον, το κακόβουλο λογισμικό επιτρέπει στον εισβολέα να παραθέτει αρχεία που βρίσκονται σε μια καθορισμένη διαδρομή, να εκτελεί εντολές φλοιού και να ανακτά την έξοδο τους, να περιηγείται και να αλλάζει καταλόγους και να εκτελεί κώδικα Python εντός του τρέχοντος περιβάλλοντος.

Το JokerSpy διαθέτει επίσης τη δυνατότητα να αποκωδικοποιεί τον κώδικα Python με κωδικοποίηση Base64 που παρέχεται ως παράμετρος, να τον μεταγλωττίζει και στη συνέχεια να τον εκτελεί εντός του μολυσμένου συστήματος. Επιπλέον, το κακόβουλο λογισμικό επιτρέπει στον εισβολέα να διαγράφει αρχεία ή καταλόγους από το παραβιασμένο σύστημα, να εκτελεί αρχεία με ή χωρίς παραμέτρους, να ανεβάζει αρχεία στο μολυσμένο σύστημα και να κατεβάζει αρχεία από το μολυσμένο σύστημα.

Οι εισβολείς μπορούν επίσης να δώσουν εντολή στο JokerSpy να ανακτήσει την τρέχουσα διαμόρφωση του κακόβουλου λογισμικού που είναι αποθηκευμένο στο αρχείο διαμόρφωσης. Αυτή η ρύθμιση παραμέτρων μπορεί να προσπελαστεί και να χειριστεί από τον εισβολέα ώστε να ταιριάζει στους στόχους του, καθώς μπορεί να παρακάμψει το υπάρχον αρχείο διαμόρφωσης με νέες τιμές που ευθυγραμμίζονται με τις κακόβουλες προθέσεις του.

Παρουσιάζοντας αυτές τις διάφορες λειτουργίες και ενέργειες, το JokerSpy παρέχει στον εισβολέα ένα ολοκληρωμένο σύνολο εργαλείων για να ασκήσει έλεγχο και να εκτελέσει κακόβουλες δραστηριότητες εντός του παραβιασμένου συστήματος. Αυτές οι δυνατότητες υπογραμμίζουν τη σοβαρότητα και τον πιθανό αντίκτυπο των μολύνσεων από κακόβουλο λογισμικό, τονίζοντας την κρίσιμη σημασία της εφαρμογής ισχυρών μέτρων ασφαλείας για την πρόληψη και τον μετριασμό τέτοιων απειλών.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...