JokerSpy Backdoor

Istraživači kibernetičke sigurnosti otkrili su prethodno nepoznati zlonamjerni softver za Mac koji je uspješno zarazio mjenjačnicu kriptovaluta. Ovaj određeni zlonamjerni softver, nazvan JokerSpy, ističe se svojim širokim rasponom mogućnosti, predstavljajući izrazitu prijetnju sigurnosti i privatnosti pogođenih sustava.

JokerSpy je izrađen pomoću programskog jezika Python. Pokazuje široku lepezu zlonamjernih funkcija, a njegov sveobuhvatan paket alata omogućuje mu ne samo krađu privatnih podataka, već i preuzimanje i pokretanje dodatnih zlonamjernih datoteka. Kao rezultat toga, žrtve bi mogle biti izložene još većoj potencijalnoj šteti.

Zanimljivo, JokerSpy koristi alat otvorenog koda pod nazivom SwiftBelt, izvorno stvoren za legitimne sigurnosne stručnjake za procjenu mrežnih ranjivosti. Ovo prihvaćanje legitimnih alata za opake svrhe pokazuje prilagodljivost i sofisticiranost zlonamjernog softvera.

Dok se fokus ovog otkrića vrti oko zlonamjernog softvera za Mac, vrijedno je napomenuti da su istraživači također otkrili elemente koji ukazuju na postojanje varijanti JokerSpy za Windows i Linux platforme. Ovo sugerira da su tvorci JokerSpyja razvili verzije koje ciljaju na te popularne operativne sustave, čime su proširili njihov doseg i potencijalni utjecaj na više platformi.

JokerSpy zaobilazi MacOS sigurnosnu zaštitu

Uočeno je da neidentificirani akter prijetnje koji stoji iza JokerSpyja koristi tehniku za zaobilaženje zaštite Transparency, Consent, and Control (TCC) macOS-a. Obično bi zahtijevale eksplicitnu korisničku dozvolu za aplikacije za pristup osjetljivim resursima na Macu, kao što su tvrdi disk i kontakti ili mogućnost snimanja zaslona.

Kako bi postigli svoj cilj, akteri prijetnje zamijenili su postojeću TCC bazu podataka vlastitom, s ciljem suzbijanja svih upozorenja koja bi se obično pokrenula kada se JokerSpy malware pokrene. Prethodni napadi pokazali su da akteri prijetnji mogu iskoristiti ranjivosti unutar TCC zaštite kako bi ih uspješno zaobišli.

U ovom konkretnom slučaju, xcc izvršna komponenta JokerSpyja igra ključnu ulogu u iskorištavanju. Izvodi provjeru TCC dopuštenja, utvrđujući trenutno aktivnu aplikaciju s kojom je korisnik bio u interakciji. Zatim nastavlja s preuzimanjem i instaliranjem sh.py, primarnog motora odgovornog za pokretanje zlonamjernog softvera JokerSpy.

Korištenjem ove metode akteri prijetnji uspijevaju iskoristiti ranjivost nultog dana u macOS-u, dajući im mogućnost snimanja snimaka zaslona ugroženih Mac uređaja.

Višestruke prijeteće mogućnosti pronađene unutar JokerSpy Backdoora

Nakon što sustav postane ugrožen i zaražen JokerSpyjem, napadač stječe značajnu kontrolu nad njim. Mogućnosti koje pokazuje ova prijetnja zlonamjernim softverom obuhvaćaju širok raspon funkcija i radnji koje se mogu izvršiti u skladu sa specifičnim ciljevima napadača.

Ove funkcije uključuju mogućnost zaustavljanja izvršavanja JokerSpy stražnjih vrata prisutnih unutar provaljenog uređaja. Osim toga, zlonamjerni softver omogućuje napadaču da ispiše datoteke koje se nalaze na određenoj stazi, izvrši naredbe ljuske i dohvati njihov izlaz, kreće se i mijenja direktorije, te izvršava Python kod unutar trenutnog konteksta.

JokerSpy također posjeduje mogućnost dekodiranja Python koda kodiranog Base64 koji je dat kao parametar, kompajlirati ga i potom izvršiti unutar zaraženog sustava. Štoviše, zlonamjerni softver omogućuje napadaču brisanje datoteka ili direktorija iz kompromitiranog sustava, izvršavanje datoteka sa ili bez parametara, učitavanje datoteka u zaraženi sustav i preuzimanje datoteka sa zaraženog sustava.

Napadači također mogu uputiti JokerSpy da dohvati trenutnu konfiguraciju zlonamjernog softvera pohranjenog u konfiguracijskoj datoteci. Ovoj konfiguraciji napadač može pristupiti i njome manipulirati kako bi odgovarao svojim ciljevima, budući da može nadjačati postojeću konfiguracijsku datoteku novim vrijednostima koje su u skladu s njihovim zlonamjernim namjerama.

Prikazivanjem ovih različitih funkcija i radnji, JokerSpy napadaču pruža opsežan skup alata za vršenje kontrole i izvođenje zlonamjernih aktivnosti unutar ugroženog sustava. Ove mogućnosti naglašavaju ozbiljnost i potencijalni utjecaj infekcija zlonamjernim softverom, naglašavajući ključnu važnost implementacije snažnih sigurnosnih mjera za sprječavanje i ublažavanje takvih prijetnji.