Mjenjačnica kriptovaluta postala žrtva neviđenog i razornog napada zlonamjernog softvera za Mac
U nedavnom otkriću, istraživači su otkrili novu vrstu zlonamjernog softvera za Mac koji je ciljao na razmjenu kriptovaluta, predstavljajući značajnu prijetnju sigurnosti sredstava korisnika. Ovaj sofisticirani zlonamjerni softver, nazvan JokerSpy, pokazuje širok raspon mogućnosti, uključujući krađu podataka, preuzimanje i izvršavanje prijetećih datoteka i potencijalnu funkcionalnost na više platformi. Napisan u Pythonu, JokerSpy koristi SwiftBelt, alat otvorenog koda koji je prvobitno bio namijenjen legitimnom sigurnosnom testiranju. Prvotno izlaganje JokerSpy-u izašlo je na vidjelo kroz sigurnosno izvješće, otkrivajući njegovo postojanje i izazivajući zabrinutost oko njegove potencijalne dostupnosti na Windows i Linux platformama. Ovaj razvoj događaja naglašava stalne izazove mjenjačnica kriptovaluta i stalnu potrebu za snažnim sigurnosnim mjerama za zaštitu od novih prijetnji.
Sadržaj
Anatomija prijetnje
Malware JokerSpy pojavio se nakon što je određeni alat za zaštitu krajnje točke otkrio sumnjivu binarnu datoteku pod nazivom xcc. Žrtva zlonamjernog softvera bila je poznata mjenjačnica kriptovaluta u Japanu. Nakon što se pojavila datoteka xcc, hakeri koji stoje iza JokerSpy-a pokušali su zaobići sigurnosnu zaštitu macOS-a, poznatu kao TCC, koja zahtijeva izričitu korisničku dozvolu za pristup aplikacija osjetljivim podacima i resursima. Akteri prijetnji zamijenili su postojeću TCC bazu podataka vlastitom, vjerojatno kako bi spriječili pojavljivanje upozorenja kada je JokerSpy aktivan. U prijašnjim napadima hakeri su iskorištavali ranjivosti u zaštiti TCC-a kako bi ih zaobišli, a istraživači su pokazali slične napade.
Glavni motor zlonamjernog softvera JokerSpy ima višestruke backdoor funkcionalnosti koje dopuštaju neovlaštene radnje i osiguravaju kontrolu nad ugroženim sustavom. Ove funkcionalnosti uključuju zaustavljanje izvršavanja stražnjih vrata (sk), ispisivanje datoteka na određenom putu (l), izvršavanje naredbi ljuske i vraćanje izlaza (c), promjenu trenutnog direktorija i pružanje novog puta (cd), izvršavanje Python koda unutar trenutni kontekst pomoću danog parametra (xs), dekodiranje i izvršavanje Python koda kodiranog Base64 (xsi), uklanjanje datoteka ili direktorija iz sustava (r), izvođenje datoteka iz sustava sa ili bez parametara (e), učitavanje datoteka u zaraženi sustav (u), preuzimanje datoteka sa zaraženog sustava (d), dohvaćanje trenutne konfiguracije zlonamjernog softvera iz konfiguracijske datoteke (g) i nadjačavanje konfiguracijske datoteke zlonamjernog softvera novim vrijednostima (w).
Ove naredbe omogućuju zlonamjernom softveru JokerSpy izvođenje raznih neovlaštenih radnji i kontrolu nad ugroženim sustavom.
Kako je objavljeno, nakon što je sustav kompromitiran i zaražen zlonamjernim softverom kao što je JokerSpy, napadač dobiva značajnu kontrolu nad sustavom. Međutim, sa stražnjim vratima, napadači čak mogu diskretno instalirati dodatne komponente i potencijalno izvršiti daljnja iskorištavanja, promatrati radnje korisnika, prikupljati vjerodajnice za prijavu ili novčanike za kriptovalute i provoditi druge štetne aktivnosti.
Vektor infekcije trenutno nepoznat
Istraživači još uvijek nisu sigurni o točnoj metodi instalacije JokerSpyja. Neki čvrsto vjeruju da je početna pristupna točka za ovaj zlonamjerni softver uključivala nesiguran ili ugrožen dodatak ili ovisnost treće strane koja je akteru prijetnje omogućila neovlašteni pristup. Ova se teorija poklapa s opažanjima istraživača Bitdefendera, koji su pronašli tvrdo kodiranu domenu u verziji backdoor-a sh.py koja povezuje na tweetove koji raspravljaju o čitaču zaraženog macOS QR koda s nesigurnom ovisnošću. Također je primijećeno da je promatrani akter prijetnje već imao pristup japanskoj mjenjačnici kriptovaluta.
Kako bi JokerSpy identificirao potencijalno ciljanje, pojedinci mogu potražiti određene pokazatelje. To uključuje kriptografske hashove različitih uzoraka xcc i sh.py i kontakt s domenama, kao što su git-hub[.]me i app.influmarket[.]org. Dok je JokerSpy u početku prošao nezapaženo od strane većine sigurnosnih mehanizama, sada ga može otkriti širi raspon mehanizama. Iako nema potvrde o postojanju Windows ili Linux verzija JokerSpy-a, bitno je znati da ta mogućnost postoji.
Mjenjačnica kriptovaluta postala žrtva neviđenog i razornog napada zlonamjernog softvera za Mac Snimaka Zaslona
