JokerSpy Backdoor
محققان امنیت سایبری یک بدافزار Mac را که قبلا ناشناخته بود، کشف کردند که با موفقیت یک صرافی ارزهای دیجیتال را آلوده کرده است. این بدافزار خاص که JokerSpy نام دارد به دلیل طیف گسترده ای از قابلیت های خود برجسته است و تهدیدی آشکار برای امنیت و حریم خصوصی سیستم های آسیب دیده است.
JokerSpy با استفاده از زبان برنامه نویسی Python ساخته شده است. این مجموعه گسترده ای از عملکردهای مخرب را نشان می دهد و مجموعه ابزارهای جامع آن نه تنها به سرقت اطلاعات خصوصی بلکه همچنین دانلود و اجرای فایل های مخرب اضافی کمک می کند. در نتیجه، قربانیان ممکن است در معرض صدمات بالقوه بزرگتری قرار گیرند.
جالب اینجاست که JokerSpy از یک ابزار منبع باز به نام SwiftBelt استفاده می کند که در اصل برای متخصصان امنیتی قانونی ایجاد شده بود تا آسیب پذیری های شبکه را ارزیابی کنند. این استفاده از ابزارهای قانونی برای اهداف پلید، سازگاری و پیچیدگی بدافزار را نشان می دهد.
در حالی که تمرکز این کشف حول نرم افزارهای مخرب مک است، شایان ذکر است که محققان عناصری را نیز شناسایی کرده اند که نشان دهنده وجود انواع JokerSpy برای سیستم عامل های ویندوز و لینوکس است. این نشان میدهد که سازندگان JokerSpy نسخههایی را توسعه دادهاند که این سیستمعاملهای محبوب را هدف قرار میدهند، در نتیجه دسترسی و تأثیر بالقوه آنها را در چندین پلتفرم گسترش میدهند.
JokerSpy محافظت های امنیتی MacOS را دور می زند
عامل تهدید ناشناس پشت JokerSpy مشاهده شده است که از تکنیکی برای دور زدن حفاظتهای شفافیت، رضایت و کنترل macOS (TCC) استفاده میکند. معمولاً برای برنامهها برای دسترسی به منابع حساس در Mac، مانند هارد دیسک و مخاطبین یا توانایی ضبط صفحه، به مجوز صریح کاربر نیاز دارند.
برای دستیابی به هدف خود، عوامل تهدید پایگاه داده TCC موجود را با پایگاه داده خود جایگزین کردند، با هدف سرکوب هر گونه هشداری که معمولاً هنگام اجرای بدافزار JokerSpy ایجاد می شود. حملات قبلی نشان دادهاند که عوامل تهدید میتوانند از آسیبپذیریهای موجود در حفاظتهای TCC برای دور زدن موفقیتآمیز آنها سوء استفاده کنند.
در این مورد خاص، مؤلفه اجرایی xcc JokerSpy نقش مهمی در این اکسپلویت بازی میکند. این برنامه مجوزهای TCC را بررسی می کند و برنامه فعال فعلی را که کاربر با آن تعامل داشته است، تعیین می کند. متعاقباً، به دانلود و نصب sh.py، موتور اصلی مسئول اجرای بدافزار JokerSpy ادامه میدهد.
با استفاده از این روش، عوامل تهدید موفق میشوند از یک آسیبپذیری روز صفر در macOS بهره ببرند و به آنها امکان گرفتن اسکرینشات از دستگاههای Mac در معرض خطر را میدهند.
قابلیت های چندگانه تهدید آمیز موجود در درپشتی JokerSpy
هنگامی که یک سیستم در معرض خطر قرار می گیرد و به JokerSpy آلوده می شود، مهاجم کنترل قابل توجهی بر آن به دست می آورد. قابلیتهایی که این تهدید بدافزار به نمایش میگذارد، طیف وسیعی از عملکردها و اقداماتی را در بر میگیرد که میتواند مطابق با اهداف خاص مهاجمان اجرا شود.
این عملکردها شامل توانایی توقف اجرای درپشتی JokerSpy موجود در دستگاه شکسته شده است. علاوه بر این، بدافزار مهاجم را قادر میسازد تا فایلهای واقع در یک مسیر مشخص را فهرست کند، دستورات پوسته را اجرا کند و خروجی آنها را بازیابی کند، دایرکتوریها را پیمایش کند و تغییر دهد، و کد پایتون را در زمینه فعلی اجرا کند.
JokerSpy همچنین دارای قابلیت رمزگشایی کد پایتون با کد Base64 است که به عنوان پارامتر ارائه شده است، آن را کامپایل کرده و سپس در سیستم آلوده اجرا می کند. علاوه بر این، بدافزار مهاجم را قادر میسازد تا فایلها یا دایرکتوریها را از سیستم در معرض خطر حذف کند، فایلها را با یا بدون پارامتر اجرا کند، فایلها را در سیستم آلوده آپلود کند و فایلها را از سیستم آلوده دانلود کند.
مهاجمان همچنین می توانند به JokerSpy دستور دهند تا پیکربندی فعلی بدافزار ذخیره شده در فایل پیکربندی را بازیابی کند. مهاجم میتواند به این پیکربندی دسترسی داشته باشد و آن را دستکاری کند تا با اهداف خود مطابقت داشته باشد، زیرا آنها میتوانند فایل پیکربندی موجود را با مقادیر جدیدی که با اهداف مخرب خود هماهنگ هستند، لغو کنند.
با نمایش این عملکردها و اقدامات مختلف، JokerSpy مجموعه ای جامع از ابزارها را برای اعمال کنترل و انجام فعالیت های مخرب در سیستم در معرض خطر در اختیار مهاجم قرار می دهد. این قابلیتها بر شدت و تأثیر احتمالی آلودگیهای بدافزار تأکید میکنند و بر اهمیت حیاتی اجرای اقدامات امنیتی قوی برای جلوگیری و کاهش چنین تهدیداتی تأکید میکنند.