JokerSpy Backdoor

חוקרי אבטחת סייבר חשפו תוכנה זדונית של Mac שלא הייתה ידועה בעבר שהדביקה בהצלחה בורסת מטבעות קריפטוגרפיים. התוכנה הזדונית הספציפית הזו, הנקראת JokerSpy, בולטת בשל מגוון היכולות הנרחב שלה, המהווה איום אקספרסיבי על האבטחה והפרטיות של המערכות המושפעות.

JokerSpy נוצר באמצעות שפת התכנות Python. הוא מציג מגוון רחב של פונקציות זדוניות, וחבילת הכלים המקיפה שלו מאפשרת לו לא רק לגנוב נתונים פרטיים אלא גם להוריד ולהפעיל קבצים זדוניים נוספים. כתוצאה מכך, הקורבנות עלולים להיגרם לנזק פוטנציאלי גדול עוד יותר.

מעניין ש- JokerSpy ממנפת כלי קוד פתוח בשם SwiftBelt, שנוצר במקור עבור אנשי אבטחה לגיטימיים כדי להעריך פגיעויות ברשת. אימוץ זה של כלים לגיטימיים למטרות מרושעות מדגים את יכולת ההסתגלות והתחכום של התוכנה הזדונית.

בעוד שהמוקד של גילוי זה סובב סביב תוכנות זדוניות של Mac, ראוי לציין שהחוקרים זיהו גם אלמנטים המעידים על קיומם של גרסאות JokerSpy עבור פלטפורמות Windows ו-Linux. זה מצביע על כך שיוצרי JokerSpy פיתחו גרסאות המכוונות למערכות ההפעלה הפופולריות הללו, ובכך הרחיבו את טווח ההגעה וההשפעה הפוטנציאלית שלהן על פני מספר פלטפורמות.

JokerSpy עוקף את הגנות האבטחה של MacOS

שחקן האיום הבלתי מזוהה מאחורי JokerSpy נצפה כמי שמשתמש בטכניקה כדי לעקוף את ההגנות של macOS שקיפות, הסכמה ובקרה (TCC). בדרך כלל, הם ידרשו הרשאת משתמש מפורשת עבור יישומים לגשת למשאבים רגישים ב-Mac, כגון הכונן הקשיח ואנשי הקשר או היכולת להקליט את המסך.

כדי להשיג את מטרתם, שחקני האיומים החליפו את מסד הנתונים הקיים של TCC במסד הנתונים שלהם, במטרה לדכא את כל ההתראות שיופעלו בדרך כלל כאשר התוכנה הזדונית JokerSpy מבוצעת. התקפות קודמות הוכיחו שגורמי איומים יכולים לנצל פגיעויות במסגרת הגנות ה-TCC כדי לעקוף אותן בהצלחה.

במקרה הספציפי הזה, רכיב ההפעלה xcc של JokerSpy ממלא תפקיד מכריע בניצול. הוא מבצע בדיקה של הרשאות ה-TCC, וקובע את האפליקציה הפעילה כעת שאיתה המשתמש היה באינטראקציה. לאחר מכן, הוא ממשיך להוריד ולהתקין את sh.py, המנוע העיקרי שאחראי להפעלת התוכנה הזדונית JokerSpy.

על ידי שימוש בשיטה זו, מצליחים שחקני האיום לנצל פגיעות של יום אפס ב-macOS, ומעניקים להם את היכולת לצלם צילומי מסך של מכשירי Mac שנפגעו.

היכולות המאיימות המרובות שנמצאו בדלת האחורית של JokerSpy

ברגע שמערכת נפגעת ונדבקת ב- JokerSpy, התוקף משיג עליה שליטה משמעותית. היכולות שמציג איום תוכנות זדוניות זה מקיפות מגוון רחב של פונקציות ופעולות שניתן לבצע בהתאם למטרות הספציפיות של התוקפים.

פונקציות אלו כוללות את היכולת לעצור את ביצוע הדלת האחורית של JokerSpy הקיימת במכשיר הפרוץ. בנוסף, התוכנה הזדונית מאפשרת לתוקף לרשום קבצים הממוקמים בנתיב מוגדר, לבצע פקודות מעטפת ולאחזר את הפלט שלהם, לנווט ולשנות ספריות, ולהפעיל קוד Python בהקשר הנוכחי.

ל- JokerSpy יש גם את היכולת לפענח קוד Python מקודד Base64 המסופק כפרמטר, לקמפל אותו, ולאחר מכן להפעיל אותו בתוך המערכת הנגועה. יתרה מכך, התוכנה הזדונית מאפשרת לתוקף למחוק קבצים או ספריות מהמערכת שנפרצה, להפעיל קבצים עם או בלי פרמטרים, להעלות קבצים למערכת הנגועה ולהוריד קבצים מהמערכת הנגועה.

התוקפים יכולים גם להורות ל-JokerSpy לאחזר את התצורה הנוכחית של התוכנה הזדונית המאוחסנת בקובץ התצורה. התוקף יכול לגשת לתצורה הזו ולעשות עליה מניפולציות כדי להתאים למטרותיו, מכיוון שהם יכולים לעקוף את קובץ התצורה הקיים עם ערכים חדשים המתואמים עם כוונותיו הזדוניות.

על ידי הצגת הפונקציות והפעולות השונות הללו, JokerSpy מספקת לתוקף סט מקיף של כלים להפעיל שליטה ולבצע פעילויות זדוניות בתוך המערכת שנפרצה. יכולות אלו מדגישות את החומרה וההשפעה הפוטנציאלית של הדבקות בתוכנות זדוניות, תוך שימת דגש על החשיבות הקריטית של יישום אמצעי אבטחה חזקים כדי למנוע ולהפחית איומים כאלה.