A kriptovaluta tőzsde példátlan és pusztító Mac rosszindulatú támadás áldozata lett
Egy közelmúltbeli felfedezés során a kutatók a Mac rosszindulatú programjának egy új törzsét tárták fel, amely egy kriptovaluta tőzsdét céloz meg, és jelentős veszélyt jelent a felhasználók pénzeszközeinek biztonságára. Ez a kifinomult, JokerSpy névre keresztelt rosszindulatú program a képességek széles skáláját mutatja, beleértve az adatlopást, a fenyegető fájlok letöltését és végrehajtását, valamint a potenciális többplatformos funkcionalitást. A Python nyelven írt JokerSpy a SwiftBelt, egy nyílt forráskódú eszközt használja, amelyet eredetileg legitim biztonsági tesztelésre szántak. A JokerSpy kezdeti leleplezése egy biztonsági jelentésből derült ki, amely felfedte a létezését, és aggályokat vet fel a Windows és Linux platformokon való esetleges elérhetősége miatt. Ez a fejlesztés rávilágít a kriptovaluta tőzsdék folyamatos kihívásaira, valamint arra, hogy állandó biztonsági intézkedésekre van szükség a felmerülő fenyegetések elleni védelem érdekében.
Tartalomjegyzék
A fenyegetés anatómiája
A JokerSpy kártevő azután jelent meg, hogy egy adott végpontvédelmi eszköz egy xcc nevű gyanús bináris fájlt észlelt. A rosszindulatú program áldozata egy jól ismert kriptovaluta tőzsde volt Japánban. Az xcc fájl megjelenése után a JokerSpy mögött álló hackerek megpróbálták megkerülni a macOS TCC-ként ismert biztonsági védelmeit, amelyek kifejezett felhasználói engedélyt igényelnek az érzékeny adatokhoz és erőforrásokhoz való hozzáféréshez. A fenyegetés szereplői lecserélték a meglévő TCC adatbázist a sajátjukra, valószínűleg megakadályozva a riasztások megjelenését, amikor a JokerSpy aktív. A korábbi támadások során a hackerek kihasználták a TCC védelmek sérülékenységeit, hogy megkerüljék azokat, és a kutatók hasonló támadásokat is kimutattak.
A JokerSpy rosszindulatú program fő motorja számos hátsó ajtó funkcióval rendelkezik, amelyek lehetővé teszik a jogosulatlan műveleteket és ellenőrzést biztosítanak a feltört rendszer felett. Ezek a funkciók közé tartozik a hátsó ajtó (sk) végrehajtásának leállítása, a fájlok listázása egy megadott útvonalon (l), a shell parancsok végrehajtása és a kimenet visszaadása (c), az aktuális könyvtár megváltoztatása és az új elérési út (cd) megadása, Python kód végrehajtása az aktuális környezet egy megadott paraméterrel (xs), a Base64 kódolású Python kód dekódolása és végrehajtása (xsi), fájlok vagy könyvtárak eltávolítása a rendszerből (r), fájlok végrehajtása a rendszerből paraméterekkel vagy anélkül (e), fájlok feltöltése a fertőzött rendszer (u), fájlok letöltése a fertőzött rendszerről (d), a kártevő aktuális konfigurációjának lekérése a konfigurációs fájlból (g), és a kártevő konfigurációs fájljának felülírása új értékekkel (w).
Ezek a parancsok lehetővé teszik a JokerSpy malware számára, hogy különféle jogosulatlan műveleteket hajtson végre, és irányítsa a feltört rendszert.
Amint arról beszámoltunk, amint egy rendszert feltörnek és megfertőznek egy olyan rosszindulatú programmal, mint a JokerSpy, a támadó jelentős irányítást szerez a rendszer felett. A hátsó ajtóval azonban a támadók még további összetevőket is telepíthetnek diszkréten, és potenciálisan további exploitokat hajthatnak végre, megfigyelhetik a felhasználók tevékenységét, bejelentkezési hitelesítő adatokat vagy kriptovaluta pénztárcákat gyűjthetnek, és egyéb káros tevékenységeket hajthatnak végre.
A fertőzés vektora jelenleg ismeretlen
A kutatók még mindig bizonytalanok a JokerSpy telepítésének pontos módját illetően. Egyesek határozottan úgy vélik, hogy a rosszindulatú program kezdeti hozzáférési pontja egy nem biztonságos vagy feltört beépülő modult vagy harmadik féltől származó függőséget tartalmazott, amely jogosulatlan hozzáférést biztosított a fenyegető szereplő számára. Ez az elmélet összhangban van a Bitdefender kutatóinak megfigyeléseivel, akik az sh.py backdoor egyik verziójában keménykódolt domaint találtak, amely egy nem biztonságos függőséggel rendelkező fertőzött macOS QR-kód olvasót tárgyaló tweetekre hivatkozik. Azt is megjegyezték, hogy a megfigyelt fenyegetés szereplőjének már korábban is volt hozzáférése a japán kriptovaluta tőzsdéhez.
A JokerSpy lehetséges célzásának azonosításához az egyének konkrét mutatókat kereshetnek. Ide tartoznak az xcc és sh.py különböző mintáinak kriptográfiai kivonatai, valamint a tartományokkal való kapcsolattartás, például a git-hub[.]me és az app.influmarket[.]org. Míg a JokerSpy-t kezdetben a legtöbb biztonsági motor nem vette észre, ma már a motorok szélesebb köre képes észlelni. Noha nincs megerősítés a JokerSpy Windows vagy Linux verzióinak létezésére vonatkozóan, fontos tisztában lenni azzal, hogy ez a lehetőség fennáll.
A kriptovaluta tőzsde példátlan és pusztító Mac rosszindulatú támadás áldozata lett képernyőkép
