JokerSpy Backdoor

A kiberbiztonsági kutatók egy korábban ismeretlen Mac-es kártevőt fedeztek fel, amely sikeresen megfertőzte a kriptovaluta tőzsdét. Ez a JokerSpy nevű rosszindulatú program kiemelkedik széleskörű képességeivel, és kifejezetten fenyegetést jelent az érintett rendszerek biztonságára és magánéletére nézve.

A JokerSpy a Python programozási nyelv használatával készült. A rosszindulatú funkciók széles skáláját kínálja, és átfogó eszközkészlete lehetővé teszi nemcsak a személyes adatok ellopását, hanem további rosszindulatú fájlok letöltését és futtatását is. Ennek eredményeként az áldozatok még nagyobb potenciális károknak lehetnek kitéve.

Érdekes módon a JokerSpy egy SwiftBelt nevű nyílt forráskódú eszközt használ, amelyet eredetileg legitim biztonsági szakemberek számára készítettek a hálózati sebezhetőségek felmérésére. A törvényes eszközök aljas célokra történő elfogadása bizonyítja a rosszindulatú program alkalmazkodóképességét és kifinomultságát.

Noha ennek a felfedezésnek a fókuszában a Mac-es kártevők állnak, érdemes megjegyezni, hogy a kutatók olyan elemeket is észleltek, amelyek a JokerSpy Windows és Linux platformokra készült változatainak létezésére utalnak. Ez azt sugallja, hogy a JokerSpy alkotói olyan verziókat fejlesztettek ki, amelyek ezeket a népszerű operációs rendszereket célozzák meg, ezáltal kiterjesztették elérésüket és potenciális hatásukat több platformon.

A JokerSpy megkerüli a MacOS biztonsági védelmet

Megfigyelték, hogy a JokerSpy mögött álló, azonosítatlan fenyegetés szereplője olyan technikát alkalmaz, amellyel megkerüli a macOS átláthatósági, beleegyezési és vezérlési (TCC) védelmét. Általában kifejezett felhasználói engedélyre van szükségük ahhoz, hogy az alkalmazások hozzáférjenek a Mac számítógépen lévő érzékeny erőforrásokhoz, például a merevlemezhez és a névjegyekhez, vagy a képernyő rögzítésének képességéhez.

Céljuk elérése érdekében a fenyegetés szereplői lecserélték a meglévő TCC adatbázist a sajátjukra, hogy elnyomjanak minden olyan riasztást, amely általában a JokerSpy kártevő végrehajtásakor indulna el. A korábbi támadások bebizonyították, hogy a fenyegetések szereplői kihasználhatják a TCC-védelem sebezhetőségeit, hogy sikeresen megkerüljék azokat.

Ebben a konkrét esetben a JokerSpy xcc végrehajtható összetevője döntő szerepet játszik a kihasználásban. Ellenőrzi a TCC-engedélyeket, meghatározva az aktuálisan aktív alkalmazást, amellyel a felhasználó kommunikált. Ezt követően letölti és telepíti az sh.py-t, a JokerSpy kártevő futtatásáért felelős elsődleges motort.

Ennek a módszernek a használatával a fenyegetés szereplőinek sikerül kihasználniuk a macOS nulladik napi sebezhetőségét, lehetővé téve számukra, hogy képernyőképeket készítsenek a feltört Mac-eszközökről.

A JokerSpy Backdoorban található többféle fenyegető képesség

Amint egy rendszer feltört és megfertőződik a JokerSpy-vel, a támadó jelentős irányítást szerez felette. A kártevő fenyegetés által mutatott képességek a támadók konkrét céljainak megfelelően végrehajtható funkciók és műveletek széles skáláját ölelik fel.

Ezek a funkciók magukban foglalják a feltört eszközön belüli JokerSpy hátsó ajtó végrehajtásának leállítását. Ezenkívül a rosszindulatú program lehetővé teszi a támadó számára, hogy felsorolja a megadott útvonalon található fájlokat, végrehajtson shell-parancsokat és lekérje kimenetüket, navigáljon és módosítson könyvtárakat, valamint Python-kódot hajtson végre az aktuális környezetben.

A JokerSpy emellett képes a paraméterként megadott Base64 kódolású Python kód dekódolására, lefordítására, majd a fertőzött rendszeren belüli végrehajtására. Ezen túlmenően a rosszindulatú program lehetővé teszi a támadó számára, hogy fájlokat vagy könyvtárakat töröljön a feltört rendszerből, fájlok futtatását paraméterekkel vagy anélkül, fájlokat töltsön fel a fertőzött rendszerre, és töltsön le fájlokat a fertőzött rendszerről.

A támadók arra is utasíthatják a JokerSpy-t, hogy kérje le a konfigurációs fájlban tárolt rosszindulatú program aktuális konfigurációját. Ezt a konfigurációt a támadó elérheti és módosíthatja céljainak megfelelően, mivel felülírhatja a meglévő konfigurációs fájlt olyan új értékekkel, amelyek összhangban vannak rosszindulatú szándékaikkal.

E különféle funkciók és műveletek bemutatásával a JokerSpy átfogó eszköztárat biztosít a támadónak, amellyel ellenőrizheti és rosszindulatú tevékenységeket hajthat végre a feltört rendszeren belül. Ezek a képességek alátámasztják a rosszindulatú programfertőzések súlyosságát és potenciális hatását, hangsúlyozva az ilyen fenyegetések megelőzésére és mérséklésére szolgáló robusztus biztonsági intézkedések végrehajtásának kritikus fontosságát.