JokerSpy tagauks

Küberturvalisuse teadlased avastasid seni tundmatu Maci pahavara, mis on edukalt nakatanud krüptovaluutabörsi. See konkreetne pahavara nimega JokerSpy paistab silma oma suure võimaluste poolest, kujutades endast tõsist ohtu mõjutatud süsteemide turvalisusele ja privaatsusele.

JokerSpy on loodud Pythoni programmeerimiskeelt kasutades. Sellel on lai valik pahatahtlikke funktsioone ning selle põhjalik tööriistade komplekt võimaldab mitte ainult privaatseid andmeid varastada, vaid ka alla laadida ja käivitada täiendavaid pahatahtlikke faile. Selle tulemusena võivad ohvrid saada veelgi suuremat võimalikku kahju.

Huvitaval kombel kasutab JokerSpy avatud lähtekoodiga tööriista nimega SwiftBelt, mis loodi algselt seaduslikele turvaprofessionaalidele võrgu haavatavuste hindamiseks. See seaduslike tööriistade kasutuselevõtt pahatahtlikel eesmärkidel näitab pahavara kohanemisvõimet ja keerukust.

Kuigi selle avastuse keskmes on Maci pahavara, väärib märkimist, et teadlased on tuvastanud ka elemente, mis viitavad JokerSpy variantide olemasolule Windowsi ja Linuxi platvormide jaoks. See viitab sellele, et JokerSpy loojad on välja töötanud versioonid, mis sihivad neid populaarseid operatsioonisüsteeme, laiendades seeläbi nende ulatust ja potentsiaalset mõju mitmel platvormil.

JokerSpy möödub MacOS-i turbekaitsetest

On täheldatud, et JokerSpy taga olev tundmatu ohutegija kasutab macOS-i läbipaistvuse, nõusoleku ja kontrolli (TCC) kaitsetest möödahiilimiseks tehnikat. Tavaliselt nõuavad need rakenduste jaoks selgesõnalist kasutajaluba, et pääseda juurde Maci tundlikele ressurssidele, nagu kõvaketas ja kontaktid, või ekraani salvestamise võimalus.

Oma eesmärgi saavutamiseks asendasid ohutegijad olemasoleva TCC andmebaasi enda omaga, eesmärgiga summutada kõik hoiatused, mis tavaliselt käivituvad JokerSpy pahavara käivitamisel. Varasemad rünnakud on näidanud, et ohus osalejad saavad kasutada TCC kaitse haavatavusi, et neist edukalt mööda minna.

Sel konkreetsel juhul mängib JokerSpy käivitatav xcc komponent ärakasutamises üliolulist rolli. See kontrollib TCC õigusi, määrates hetkel aktiivse rakenduse, millega kasutaja suhtles. Seejärel laadib see alla ja installib sh.py, mis on peamine mootor, mis vastutab JokerSpy pahavara käitamise eest.

Seda meetodit kasutades õnnestub ohus osalejatel ära kasutada macOS-i nullpäeva haavatavust, andes neile võimaluse jäädvustada ohustatud Maci seadmete ekraanipilte.

JokerSpy tagaukses leitud mitu ähvardamisvõimalust

Kui süsteem on ohustatud ja JokerSpyga nakatunud, saab ründaja selle üle olulise kontrolli. Selle pahavaraohu võimalused hõlmavad laia valikut funktsioone ja toiminguid, mida saab teostada vastavalt ründaja konkreetsetele eesmärkidele.

Need funktsioonid hõlmavad võimalust peatada rikutud seadmes oleva JokerSpy tagaukse täitmine. Lisaks võimaldab ründevara ründajal loetleda failid, mis asuvad määratud teel, täita shellikäske ja hankida nende väljund, navigeerida ja muuta katalooge ning käivitada Pythoni koodi praeguses kontekstis.

JokerSpy-l on ka võimalus dekodeerida parameetrina esitatud Base64-kodeeringuga Pythoni koodi, kompileerida see ja seejärel käivitada nakatunud süsteemis. Veelgi enam, pahavara võimaldab ründajal kustutada kahjustatud süsteemist faile või katalooge, käivitada faile parameetritega või ilma, faile nakatunud süsteemi üles laadida ja faile nakatunud süsteemist alla laadida.

Ründajad võivad anda JokerSpyle ka korralduse tuua välja konfiguratsioonifaili salvestatud pahavara praegune konfiguratsioon. Ründaja saab sellele konfiguratsioonile juurde pääseda ja seda saab manipuleerida vastavalt oma eesmärkidele, kuna nad võivad olemasoleva konfiguratsioonifaili alistada uute väärtustega, mis vastavad nende pahatahtlikele kavatsustele.

Näidates neid erinevaid funktsioone ja toiminguid, pakub JokerSpy ründajale laiaulatuslikku tööriistakomplekti, et kontrollida ja teostada pahatahtlikke tegevusi ohustatud süsteemis. Need võimalused rõhutavad pahavaraga nakatumise tõsidust ja võimalikku mõju, rõhutades selliste ohtude ennetamiseks ja leevendamiseks tugevate turvameetmete rakendamise kriitilist tähtsust.