בורסת מטבעות קריפטו נופלת קורבן להתקפת תוכנות זדוניות חסרות תקדים והרסניות של Mac
בתגלית שנערכה לאחרונה, חוקרים חשפו זן חדש של תוכנות זדוניות ב-Mac אשר כוונו לבורסה של מטבעות קריפטוגרפיים, והיוו איום משמעותי על אבטחת כספי המשתמשים. תוכנה זדונית מתוחכמת זו, בשם JokerSpy, מציגה מגוון רחב של יכולות, כולל גניבת נתונים, הורדה וביצוע של קבצים מאיימים ופונקציונליות פוטנציאלית בין פלטפורמות. כתוב ב-Python, JokerSpy ממנפת את SwiftBelt, כלי קוד פתוח שנועד בתחילה לבדיקות אבטחה לגיטימיות. החשיפה הראשונית של JokerSpy התגלתה באמצעות דוח אבטחה, שחשף את קיומו והעלה חששות לגבי הזמינות הפוטנציאלית שלו בפלטפורמות Windows ולינוקס. פיתוח זה מדגיש את האתגרים המתמשכים של בורסות מטבעות קריפטוגרפיים ואת הצורך המתמיד באמצעי אבטחה חזקים כדי להגן מפני איומים מתעוררים.
תוכן העניינים
האנטומיה של האיום
התוכנה הזדונית JokerSpy הופיעה לאחר שכלי מסוים להגנה על נקודות קצה זיהה קובץ בינארי חשוד בשם xcc. הקורבן שמטרתה התוכנה הזדונית הייתה בורסת מטבעות קריפטוגרפית ידועה ביפן. ברגע שקובץ ה-xcc הופיע, ההאקרים שמאחורי JokerSpy ניסו לעקוף את הגנות האבטחה של macOS, הידועות בשם TCC, הדורשות הרשאת משתמש מפורשת עבור יישומים לגשת לנתונים ולמשאבים רגישים. גורמי האיומים החליפו את מסד הנתונים הקיים של TCC במסד הנתונים שלהם, ככל הנראה למנוע הופעת התראות כאשר JokerSpy היה פעיל. בהתקפות קודמות, האקרים ניצלו נקודות תורפה בהגנות TCC כדי לעקוף אותן, וחוקרים הדגימו התקפות דומות.
המנוע הראשי של התוכנה הזדונית JokerSpy כולל מספר פונקציות של דלת אחורית המאפשרת פעולות לא מורשות ומספקות שליטה על המערכת שנפרצה. פונקציות אלו כוללות עצירת ביצוע הדלת האחורית (sk), רישום קבצים בנתיב מוגדר (l), ביצוע פקודות מעטפת והחזרת פלט (c), שינוי הספרייה הנוכחית ומתן הנתיב החדש (cd), ביצוע קוד Python בתוך ההקשר הנוכחי באמצעות פרמטר שסופק (xs), פענוח וביצוע קוד Python מקודד Base64 (xsi), הסרת קבצים או ספריות מהמערכת (r), ביצוע קבצים מהמערכת עם או בלי פרמטרים (e), העלאת קבצים אל המערכת הנגועה (u), הורדת קבצים מהמערכת הנגועה (ד), אחזור התצורה הנוכחית של התוכנה הזדונית מקובץ התצורה (g), ועקיפה של קובץ התצורה של התוכנה הזדונית בערכים חדשים (w).
פקודות אלו מאפשרות לתוכנה זדונית JokerSpy לבצע פעולות לא מורשות שונות ולהפעיל שליטה על המערכת שנפרצה.
כפי שדווח, ברגע שמערכת נפגעת ונדבקת בתוכנה זדונית כמו JokerSpy, התוקף מקבל שליטה משמעותית על המערכת. עם זאת, עם דלת אחורית, התוקפים יכולים אפילו להתקין רכיבים נוספים בדיסקרטיות ועלולים לבצע ניצולים נוספים, לצפות בפעולות המשתמשים, לאסוף אישורי התחברות או ארנקי מטבעות קריפטוגרפיים ולבצע פעילויות מזיקות אחרות.
וקטור זיהום לא ידוע כרגע
החוקרים עדיין לא בטוחים לגבי השיטה המדויקת של ההתקנה של JokerSpy. יש המאמינים מאוד שנקודת הגישה הראשונית עבור תוכנה זדונית זו הייתה כרוכה בתוסף לא בטוח או בסיכון או תלות של צד שלישי שסיפקה לשחקן האיום גישה לא מורשית. תיאוריה זו עולה בקנה אחד עם תצפיות שנעשו על ידי חוקרי Bitdefender, שמצאו תחום מקודד קשה בגרסה של הדלת האחורית של sh.py המקשר לציוצים הדנים בקורא קוד QR נגוע של macOS עם תלות לא בטוחה. כמו כן צוין שלשחקן האיום שנצפה כבר הייתה גישה קיימת לבורסת מטבעות הקריפטו היפניים.
כדי לזהות מיקוד פוטנציאלי על ידי JokerSpy, אנשים יכולים לחפש אינדיקטורים ספציפיים. אלה כוללים גיבוב קריפטוגרפי של דוגמאות שונות של xcc ו-sh.py ויצירת קשר עם דומיינים, כגון git-hub[.]me ו-app.influmarket[.]org. בעוד ש-JokerSpy בתחילה נעלמו מרוב מנועי האבטחה, מגוון רחב יותר של מנועים יכול כעת לזהות זאת. אמנם אין אישור לקיומן של גירסאות Windows או Linux של JokerSpy, אך חיוני להיות מודע לכך שקיימת אפשרות זו.
בורסת מטבעות קריפטו נופלת קורבן להתקפת תוכנות זדוניות חסרות תקדים והרסניות של Mac צילומי מסך
