JokerSpy Backdoor

I ricercatori della sicurezza informatica hanno scoperto un malware per Mac precedentemente sconosciuto che ha infettato con successo un exchange di criptovalute. Questo particolare malware, chiamato JokerSpy, si distingue per la sua vasta gamma di funzionalità, rappresentando una minaccia espressiva per la sicurezza e la privacy dei sistemi interessati.

JokerSpy è realizzato utilizzando il linguaggio di programmazione Python. Presenta una vasta gamma di funzionalità dannose e la sua suite completa di strumenti gli consente non solo di rubare dati privati, ma anche di scaricare ed eseguire file dannosi aggiuntivi. Di conseguenza, le vittime potrebbero essere soggette a danni potenziali ancora maggiori.

È interessante notare che JokerSpy sfrutta uno strumento open source chiamato SwiftBelt, originariamente creato per professionisti della sicurezza legittimi per valutare le vulnerabilità della rete. Questa adozione di strumenti legittimi per scopi nefasti dimostra l'adattabilità e la sofisticatezza del malware.

Mentre il fulcro di questa scoperta ruota attorno al malware per Mac, vale la pena notare che i ricercatori hanno anche rilevato elementi che indicano l'esistenza di varianti di JokerSpy per piattaforme Windows e Linux. Ciò suggerisce che i creatori di JokerSpy hanno sviluppato versioni mirate a questi popolari sistemi operativi, espandendo così la loro portata e il potenziale impatto su più piattaforme.

JokerSpy bypassa le protezioni di sicurezza di MacOS

È stato osservato che l'attore di minacce non identificato dietro JokerSpy utilizza una tecnica per aggirare le protezioni macOS Transparency, Consent, and Control (TCC). Normalmente, richiederebbero l'esplicita autorizzazione dell'utente affinché le applicazioni accedano a risorse sensibili su un Mac, come il disco rigido e i contatti o la possibilità di registrare lo schermo.

Per raggiungere il loro obiettivo, gli attori delle minacce hanno sostituito il database TCC esistente con il proprio, con l'obiettivo di sopprimere qualsiasi avviso che verrebbe tipicamente attivato quando viene eseguito il malware JokerSpy. Attacchi precedenti hanno dimostrato che gli attori delle minacce possono sfruttare le vulnerabilità all'interno delle protezioni TCC per aggirarle con successo.

In questo caso particolare, il componente eseguibile xcc di JokerSpy gioca un ruolo cruciale nell'exploit. Esegue un controllo sui permessi TCC, determinando l'applicazione attualmente attiva con cui l'utente stava interagendo. Successivamente, procede al download e all'installazione di sh.py, il motore principale responsabile dell'esecuzione del malware JokerSpy.

Utilizzando questo metodo, gli attori delle minacce riescono a sfruttare una vulnerabilità zero-day in macOS, garantendo loro la possibilità di acquisire schermate di dispositivi Mac compromessi.

Le molteplici capacità minacciose trovate all'interno della backdoor di JokerSpy

Una volta che un sistema viene compromesso e infettato da JokerSpy, l'attaccante ottiene un controllo significativo su di esso. Le capacità esibite da questa minaccia malware comprendono un'ampia gamma di funzioni e azioni che possono essere eseguite in conformità con gli obiettivi specifici degli aggressori.

Queste funzioni includono la possibilità di interrompere l'esecuzione della backdoor JokerSpy presente all'interno del dispositivo violato. Inoltre, il malware consente all'attaccante di elencare i file che si trovano in un percorso specificato, eseguire comandi della shell e recuperare il loro output, navigare e cambiare directory ed eseguire il codice Python all'interno del contesto corrente.

JokerSpy possiede anche la capacità di decodificare il codice Python con codifica Base64 fornito come parametro, compilarlo e successivamente eseguirlo all'interno del sistema infetto. Inoltre, il malware consente all'attaccante di eliminare file o directory dal sistema compromesso, eseguire file con o senza parametri, caricare file sul sistema infetto e scaricare file dal sistema infetto.

Gli aggressori possono anche istruire JokerSpy a recuperare la configurazione corrente del malware memorizzato nel file di configurazione. Questa configurazione è accessibile e manipolabile dall'attaccante per soddisfare i propri obiettivi, in quanto può sovrascrivere il file di configurazione esistente con nuovi valori che si allineano con le proprie intenzioni dannose.

Esibendo queste varie funzioni e azioni, JokerSpy fornisce all'attaccante un set completo di strumenti per esercitare il controllo e svolgere attività dannose all'interno del sistema compromesso. Queste funzionalità sottolineano la gravità e il potenziale impatto delle infezioni da malware, sottolineando l'importanza fondamentale di implementare solide misure di sicurezza per prevenire e mitigare tali minacce.