JokerSpy Backdoor

محققان امنیت سایبری یک بدافزار Mac را که قبلا ناشناخته بود، کشف کردند که با موفقیت یک صرافی ارزهای دیجیتال را آلوده کرده است. این بدافزار خاص که JokerSpy نام دارد به دلیل طیف گسترده ای از قابلیت های خود برجسته است و تهدیدی آشکار برای امنیت و حریم خصوصی سیستم های آسیب دیده است.

JokerSpy با استفاده از زبان برنامه نویسی Python ساخته شده است. این مجموعه گسترده ای از عملکردهای مخرب را نشان می دهد و مجموعه ابزارهای جامع آن نه تنها به سرقت اطلاعات خصوصی بلکه همچنین دانلود و اجرای فایل های مخرب اضافی کمک می کند. در نتیجه، قربانیان ممکن است در معرض صدمات بالقوه بزرگتری قرار گیرند.

جالب اینجاست که JokerSpy از یک ابزار منبع باز به نام SwiftBelt استفاده می کند که در اصل برای متخصصان امنیتی قانونی ایجاد شده بود تا آسیب پذیری های شبکه را ارزیابی کنند. این استفاده از ابزارهای قانونی برای اهداف پلید، سازگاری و پیچیدگی بدافزار را نشان می دهد.

در حالی که تمرکز این کشف حول نرم افزارهای مخرب مک است، شایان ذکر است که محققان عناصری را نیز شناسایی کرده اند که نشان دهنده وجود انواع JokerSpy برای سیستم عامل های ویندوز و لینوکس است. این نشان می‌دهد که سازندگان JokerSpy نسخه‌هایی را توسعه داده‌اند که این سیستم‌عامل‌های محبوب را هدف قرار می‌دهند، در نتیجه دسترسی و تأثیر بالقوه آنها را در چندین پلتفرم گسترش می‌دهند.

JokerSpy محافظت های امنیتی MacOS را دور می زند

عامل تهدید ناشناس پشت JokerSpy مشاهده شده است که از تکنیکی برای دور زدن حفاظت‌های شفافیت، رضایت و کنترل macOS (TCC) استفاده می‌کند. معمولاً برای برنامه‌ها برای دسترسی به منابع حساس در Mac، مانند هارد دیسک و مخاطبین یا توانایی ضبط صفحه، به مجوز صریح کاربر نیاز دارند.

برای دستیابی به هدف خود، عوامل تهدید پایگاه داده TCC موجود را با پایگاه داده خود جایگزین کردند، با هدف سرکوب هر گونه هشداری که معمولاً هنگام اجرای بدافزار JokerSpy ایجاد می شود. حملات قبلی نشان داده‌اند که عوامل تهدید می‌توانند از آسیب‌پذیری‌های موجود در حفاظت‌های TCC برای دور زدن موفقیت‌آمیز آن‌ها سوء استفاده کنند.

در این مورد خاص، مؤلفه اجرایی xcc JokerSpy نقش مهمی در این اکسپلویت بازی می‌کند. این برنامه مجوزهای TCC را بررسی می کند و برنامه فعال فعلی را که کاربر با آن تعامل داشته است، تعیین می کند. متعاقباً، به دانلود و نصب sh.py، موتور اصلی مسئول اجرای بدافزار JokerSpy ادامه می‌دهد.

با استفاده از این روش، عوامل تهدید موفق می‌شوند از یک آسیب‌پذیری روز صفر در macOS بهره ببرند و به آن‌ها امکان گرفتن اسکرین‌شات از دستگاه‌های Mac در معرض خطر را می‌دهند.

قابلیت های چندگانه تهدید آمیز موجود در درپشتی JokerSpy

هنگامی که یک سیستم در معرض خطر قرار می گیرد و به JokerSpy آلوده می شود، مهاجم کنترل قابل توجهی بر آن به دست می آورد. قابلیت‌هایی که این تهدید بدافزار به نمایش می‌گذارد، طیف وسیعی از عملکردها و اقداماتی را در بر می‌گیرد که می‌تواند مطابق با اهداف خاص مهاجمان اجرا شود.

این عملکردها شامل توانایی توقف اجرای درپشتی JokerSpy موجود در دستگاه شکسته شده است. علاوه بر این، بدافزار مهاجم را قادر می‌سازد تا فایل‌های واقع در یک مسیر مشخص را فهرست کند، دستورات پوسته را اجرا کند و خروجی آن‌ها را بازیابی کند، دایرکتوری‌ها را پیمایش کند و تغییر دهد، و کد پایتون را در زمینه فعلی اجرا کند.

JokerSpy همچنین دارای قابلیت رمزگشایی کد پایتون با کد Base64 است که به عنوان پارامتر ارائه شده است، آن را کامپایل کرده و سپس در سیستم آلوده اجرا می کند. علاوه بر این، بدافزار مهاجم را قادر می‌سازد تا فایل‌ها یا دایرکتوری‌ها را از سیستم در معرض خطر حذف کند، فایل‌ها را با یا بدون پارامتر اجرا کند، فایل‌ها را در سیستم آلوده آپلود کند و فایل‌ها را از سیستم آلوده دانلود کند.

مهاجمان همچنین می توانند به JokerSpy دستور دهند تا پیکربندی فعلی بدافزار ذخیره شده در فایل پیکربندی را بازیابی کند. مهاجم می‌تواند به این پیکربندی دسترسی داشته باشد و آن را دستکاری کند تا با اهداف خود مطابقت داشته باشد، زیرا آنها می‌توانند فایل پیکربندی موجود را با مقادیر جدیدی که با اهداف مخرب خود هماهنگ هستند، لغو کنند.

با نمایش این عملکردها و اقدامات مختلف، JokerSpy مجموعه ای جامع از ابزارها را برای اعمال کنترل و انجام فعالیت های مخرب در سیستم در معرض خطر در اختیار مهاجم قرار می دهد. این قابلیت‌ها بر شدت و تأثیر احتمالی آلودگی‌های بدافزار تأکید می‌کنند و بر اهمیت حیاتی اجرای اقدامات امنیتی قوی برای جلوگیری و کاهش چنین تهدیداتی تأکید می‌کنند.