Krüptovaluutavahetus langes enneolematu ja laastava Maci pahavara rünnaku ohvriks
Hiljutise avastuse käigus avastasid teadlased uue Maci pahavara tüve, mis on võtnud sihikule krüptovaluutavahetuse, kujutades olulist ohtu kasutajate rahade turvalisusele. See keerukas pahavara nimega JokerSpy pakub laia valikut võimalusi, sealhulgas andmete vargus, ähvardavate failide allalaadimine ja käivitamine ning potentsiaalsed platvormidevahelised funktsioonid. Pythonis kirjutatud JokerSpy kasutab SwiftBelt, avatud lähtekoodiga tööriista, mis oli algselt mõeldud seaduslikuks turbetestimiseks. JokerSpy esialgne kokkupuude tuli ilmsiks turvaaruande kaudu, mis paljastas selle olemasolu ja tekitas muret selle võimaliku kättesaadavuse pärast Windowsi ja Linuxi platvormidel. See areng toob esile krüptovaluutabörside jätkuvad väljakutsed ja pideva vajaduse tugevate turvameetmete järele, et kaitsta end uute ohtude eest.
Sisukord
Ohu anatoomia
JokerSpy pahavara tekkis pärast seda, kui konkreetne lõpp-punkti kaitse tööriist tuvastas kahtlase binaarfaili nimega xcc. Pahavara sihtmärgiks oli üks Jaapanis tuntud krüptovaluutade börs. Kui xcc-fail ilmus, püüdsid JokerSpy taga olevad häkkerid mööda minna macOS-i turvakaitsetest, mida tuntakse TCC-na ja mis nõuavad rakenduste jaoks selgesõnalist luba, et pääseda juurde tundlikele andmetele ja ressurssidele. Ohutegurid asendasid olemasoleva TCC andmebaasi enda omaga, et takistada hoiatusteadete ilmumist, kui JokerSpy oli aktiivne. Varasemate rünnakute puhul kasutasid häkkerid TCC kaitsete haavatavusi, et neist mööda hiilida, ja teadlased on näidanud sarnaseid rünnakuid.
JokerSpy pahavara põhimootoril on mitu tagaukse funktsiooni, mis võimaldavad volitamata toiminguid ja annavad kontrolli ohustatud süsteemi üle. Nende funktsioonide hulka kuuluvad tagaukse (sk) täitmise peatamine, määratud teel olevate failide loetlemine (l), shellikäskude täitmine ja väljundi tagastamine (c), praeguse kataloogi muutmine ja uue tee (cd) andmine, Pythoni koodi käivitamine praegune kontekst, kasutades etteantud parameetrit (xs), dekodeerida ja käivitada Base64-kodeeritud Pythoni koodi (xsi), eemaldada süsteemist faile või katalooge (r), käivitada süsteemist faile parameetritega või ilma (e), failide üleslaadimine nakatunud süsteem (u), failide allalaadimine nakatunud süsteemist (d), pahavara praeguse konfiguratsiooni hankimine konfiguratsioonifailist (g) ja pahavara konfiguratsioonifaili alistamine uute väärtustega (w).
Need käsud võimaldavad JokerSpy pahavaral teha mitmesuguseid volitamata toiminguid ja kontrollida rikutud süsteemi.
Nagu teatatud, saab ründaja süsteemi üle olulise kontrolli, kui süsteem on ohustatud ja nakatunud sellise pahavaraga nagu JokerSpy. Tagaukse abil saavad ründajad aga diskreetselt installida lisakomponente ja potentsiaalselt edasisi ärakasutusi, jälgida kasutajate tegevusi, koguda sisselogimismandaate või krüptovaluuta rahakotte ja teha muid kahjulikke tegevusi.
Nakkuse vektor hetkel teadmata
Teadlased pole JokerSpy installimise täpse meetodi osas endiselt kindlad. Mõned usuvad kindlalt, et selle pahavara esialgne pääsupunkt hõlmas ebaturvalist või ohustatud pistikprogrammi või sõltuvust kolmandast osapoolest, mis andis ohus osalejale volitamata juurdepääsu. See teooria ühtib Bitdefenderi teadlaste tähelepanekutega, kes leidsid sh.py tagaukse versioonist kõvakodeeritud domeeni, mis lingib säutsidele, mis arutlevad nakatunud MacOS-i QR-koodi lugeja kohta, millel on ohtlik sõltuvus. Samuti märgiti, et vaadeldaval ohualal oli juba eelnev juurdepääs Jaapani krüptovaluutabörsile.
JokerSpy potentsiaalse sihtimise tuvastamiseks saavad inimesed otsida konkreetseid näitajaid. Nende hulka kuuluvad xcc ja sh.py erinevate näidiste krüptograafilised räsid ja kontakt domeenidega, nagu git-hub[.]me ja app.influmarket[.]org. Kui algselt jäi enamikule turvamootoritele JokerSpy märkamatuks, siis nüüd saab seda tuvastada laiem valik mootoreid. Kuigi JokerSpy Windowsi või Linuxi versioonide olemasolu kohta pole kinnitust, on oluline olla teadlik selle võimaluse olemasolust.
Krüptovaluutavahetus langes enneolematu ja laastava Maci pahavara rünnaku ohvriks ekraanipilti
