L'exchange di criptovalute cade vittima di un attacco malware Mac senza precedenti e devastante
In una recente scoperta, i ricercatori hanno scoperto un nuovo ceppo di malware per Mac che ha preso di mira uno scambio di criptovalute, rappresentando una minaccia significativa per la sicurezza dei fondi degli utenti. Questo malware sofisticato, denominato JokerSpy, presenta un'ampia gamma di funzionalità, tra cui il furto di dati, il download e l'esecuzione di file minacciosi e la potenziale funzionalità multipiattaforma. Scritto in Python, JokerSpy sfrutta SwiftBelt, uno strumento open source inizialmente destinato a test di sicurezza legittimi. L'esposizione iniziale di JokerSpy è venuta alla luce attraverso un rapporto sulla sicurezza, rivelando la sua esistenza e sollevando preoccupazioni sulla sua potenziale disponibilità su piattaforme Windows e Linux. Questo sviluppo evidenzia le continue sfide degli scambi di criptovalute e la costante necessità di solide misure di sicurezza per proteggersi dalle minacce emergenti.
Sommario
Anatomia della minaccia
Il malware JokerSpy è emerso dopo che un particolare strumento di protezione degli endpoint ha rilevato un file binario sospetto chiamato xcc. La vittima presa di mira dal malware era un noto exchange di criptovalute in Giappone. Una volta emerso il file xcc, gli hacker dietro JokerSpy hanno tentato di aggirare le protezioni di sicurezza di macOS, note come TCC, che richiedono l'autorizzazione esplicita dell'utente affinché le applicazioni accedano a dati e risorse sensibili. Gli attori delle minacce hanno sostituito il database TCC esistente con il proprio, probabilmente per impedire la visualizzazione di avvisi quando JokerSpy era attivo. In attacchi precedenti, gli hacker hanno sfruttato le vulnerabilità nelle protezioni TCC per aggirarle e i ricercatori hanno dimostrato attacchi simili.
Il motore principale del malware JokerSpy ha molteplici funzionalità backdoor che consentono azioni non autorizzate e forniscono il controllo sul sistema compromesso. Queste funzionalità includono l'arresto dell'esecuzione della backdoor (sk), l'elenco dei file in un percorso specificato (l), l'esecuzione dei comandi della shell e la restituzione dell'output (c), la modifica della directory corrente e la fornitura del nuovo percorso (cd), l'esecuzione del codice Python all'interno il contesto corrente utilizzando un parametro fornito (xs), decodifica ed esecuzione di codice Python con codifica Base64 (xsi), rimozione di file o directory dal sistema (r), esecuzione di file dal sistema con o senza parametri (e), caricamento di file su sistema infetto (u), scaricando file dal sistema infetto (d), recuperando la configurazione corrente del malware dal file di configurazione (g) e sovrascrivendo il file di configurazione del malware con nuovi valori (w).
Questi comandi consentono al malware JokerSpy di eseguire varie azioni non autorizzate ed esercitare il controllo sul sistema compromesso.
Come riportato, una volta che un sistema viene compromesso e infettato da un malware come JokerSpy, l'attaccante ottiene un controllo significativo sul sistema. Con una backdoor, tuttavia, gli aggressori possono persino installare componenti aggiuntivi in modo discreto e potenzialmente eseguire ulteriori exploit, osservare le azioni degli utenti, raccogliere credenziali di accesso o portafogli di criptovaluta ed eseguire altre attività dannose.
Vettore di infezione attualmente sconosciuto
I ricercatori sono ancora incerti sul metodo preciso dell'installazione di JokerSpy. Alcuni credono fermamente che il punto di accesso iniziale per questo malware abbia coinvolto un plug-in non sicuro o compromesso o una dipendenza di terze parti che ha fornito all'autore della minaccia un accesso non autorizzato. Questa teoria è in linea con le osservazioni fatte dai ricercatori di Bitdefender, che hanno trovato un dominio hardcoded in una versione della backdoor sh.py che si collega ai tweet che parlano di un lettore di codice QR macOS infetto con una dipendenza non sicura. È stato anche notato che l'autore della minaccia osservato aveva già un accesso preesistente all'exchange di criptovalute giapponese.
Per identificare il potenziale targeting di JokerSpy, le persone possono cercare indicatori specifici. Questi includono hash crittografici di diversi campioni di xcc e sh.py e contatti con domini, come git-hub[.]me e app.influmarket[.]org. Mentre JokerSpy inizialmente non veniva notato dalla maggior parte dei motori di sicurezza, ora una gamma più ampia di motori è in grado di rilevarlo. Sebbene non vi sia alcuna conferma dell'esistenza di versioni Windows o Linux di JokerSpy, è essenziale essere consapevoli dell'esistenza di questa possibilità.
L’exchange di criptovalute cade vittima di un attacco malware Mac senza precedenti e devastante screenshot
