Kryptovaluuttapörssi joutui ennennäkemättömän ja tuhoisan Mac-haittaohjelmahyökkäyksen uhriksi
Äskettäisessä löydössä tutkijat ovat paljastaneet uuden Mac-haittaohjelman, joka on kohdistanut kryptovaluuttapörssiin ja muodostaa merkittävän uhan käyttäjien varojen turvallisuudelle. Tämä hienostunut haittaohjelma, nimeltään JokerSpy, sisältää laajan valikoiman ominaisuuksia, mukaan lukien tietovarkaudet, uhkaavien tiedostojen lataamisen ja suorittamisen sekä mahdollisia monialustaisia toimintoja. Pythonilla kirjoitettu JokerSpy hyödyntää SwiftBeltiä, avoimen lähdekoodin työkalua, joka oli alun perin tarkoitettu lailliseen tietoturvatestaukseen. JokerSpyn ensimmäinen paljastus paljastui tietoturvaraportin kautta, joka paljasti sen olemassaolon ja herätti huolta sen mahdollisesta saatavuudesta Windows- ja Linux-alustoilla. Tämä kehitys korostaa kryptovaluuttapörssien jatkuvia haasteita ja jatkuvaa tarvetta vankille turvatoimille suojautuakseen uusilta uhkilta.
Sisällysluettelo
Uhan anatomia
JokerSpy-haittaohjelma syntyi sen jälkeen, kun tietty päätepisteiden suojaustyökalu havaitsi epäilyttävän binaaritiedoston nimeltä xcc. Haittaohjelman kohteeksi joutunut uhri oli Japanissa tunnettu kryptovaluuttapörssi. Kun xcc-tiedosto ilmestyi, JokerSpyn takana olevat hakkerit yrittivät ohittaa macOS:n suojaukset, jotka tunnetaan nimellä TCC, jotka vaativat nimenomaisen käyttäjän luvan sovelluksille päästäkseen arkaluonteisiin tietoihin ja resursseihin. Uhkatoimijat korvasivat olemassa olevan TCC-tietokannan omalla, mikä todennäköisesti estää hälytyksiä ilmestymästä JokerSpyn ollessa aktiivinen. Aiemmissa hyökkäyksissä hakkerit käyttivät hyväkseen TCC-suojausten haavoittuvuuksia ohittaakseen ne, ja tutkijat ovat osoittaneet vastaavia hyökkäyksiä.
JokerSpy-haittaohjelman pääkoneessa on useita takaoven toimintoja, jotka mahdollistavat luvattoman toiminnan ja mahdollistavat vaarantuneen järjestelmän hallinnan. Näitä toimintoja ovat takaoven (sk) suorittamisen pysäyttäminen, tiedostojen luetteloiminen määritetylle polulle (l), komentotulkkikomentojen suorittaminen ja tulosteen palauttaminen (c), nykyisen hakemiston muuttaminen ja uuden polun (cd) tarjoaminen, Python-koodin suorittaminen nykyinen konteksti annetulla parametrilla (xs), Base64-koodatun Python-koodin purkaminen ja suorittaminen (xsi), tiedostojen tai hakemistojen poistaminen järjestelmästä (r), tiedostojen suorittaminen järjestelmästä parametrien kanssa tai ilman (e), tiedostojen lataaminen tartunnan saaneen järjestelmän (u), tiedostojen lataaminen tartunnan saaneesta järjestelmästä (d), haittaohjelman nykyisen kokoonpanon hakeminen määritystiedostosta (g) ja haittaohjelman asetustiedoston ohittaminen uusilla arvoilla (w).
Nämä komennot sallivat JokerSpy-haittaohjelman suorittaa erilaisia luvattomia toimia ja valvoa vaarantunutta järjestelmää.
Kuten raportoitu, kun järjestelmä on vaarantunut ja saastutettu JokerSpyn kaltaisella haittaohjelmalla, hyökkääjä saa järjestelmän merkittävän hallinnan. Takaoven avulla hyökkääjät voivat kuitenkin jopa asentaa lisäkomponentteja huomaamattomasti ja mahdollisesti suorittaa lisähyökkäyksiä, tarkkailla käyttäjien toimia, kerätä kirjautumistietoja tai kryptovaluuttalompakoita ja suorittaa muita haitallisia toimia.
Infektiovektori Tällä hetkellä tuntematon
Tutkijat ovat edelleen epävarmoja JokerSpyn tarkasta asennusmenetelmästä. Jotkut uskovat vahvasti, että tämän haittaohjelman alkuperäinen tukiasema sisälsi vaarallisen tai vaarantuneen laajennuksen tai kolmannen osapuolen riippuvuuden, joka antoi uhkatekijälle luvattoman pääsyn. Tämä teoria on linjassa Bitdefenderin tutkijoiden havaintojen kanssa. He löysivät kovakoodatun verkkotunnuksen sh.py-takaoven versiosta, joka linkitti twiitteihin, joissa keskustellaan saastuneesta macOS:n QR-koodinlukijasta, jolla on vaarallinen riippuvuus. Todettiin myös, että havaitulla uhkatoimijalla oli jo olemassa oleva pääsy Japanin kryptovaluuttapörssiin.
Yksilöt voivat etsiä tiettyjä indikaattoreita tunnistaakseen JokerSpyn mahdollisen kohdistuksen. Näitä ovat eri xcc- ja sh.py-näytteiden kryptografiset tiivisteet sekä yhteys verkkotunnuksiin, kuten git-hub[.]me ja app.influmarket[.]org. Vaikka JokerSpy jäi alun perin huomaamatta useimmilta tietoturvamoottoreilta, laajempi valikoima moottoreita pystyy nyt havaitsemaan sen. Vaikka JokerSpyn Windows- tai Linux-versioiden olemassaolosta ei ole varmuutta, on tärkeää tietää, että tämä mahdollisuus on olemassa.
Kryptovaluuttapörssi joutui ennennäkemättömän ja tuhoisan Mac-haittaohjelmahyökkäyksen uhriksi kuvakaappausta
