Kriptovaliutų birža tapo precedento neturinčios ir niokojančios „Mac“ kenkėjiškų programų atakos auka
Neseniai atradę mokslininkai atskleidė naują „Mac“ kenkėjiškų programų atmainą, nukreiptą į kriptovaliutų keitimą ir keliančią didelę grėsmę vartotojų lėšų saugumui. Ši sudėtinga kenkėjiška programa, pavadinta JokerSpy, pasižymi daugybe galimybių, įskaitant duomenų vagystę, grėsmingų failų atsisiuntimą ir vykdymą bei galimas kelių platformų funkcijas. Parašyta Python, JokerSpy naudoja SwiftBelt – atvirojo kodo įrankį, iš pradžių skirtą teisėtam saugumo testavimui. Pradinis JokerSpy atskleidimas paaiškėjo paskelbus saugumo ataskaitą, atskleidžiančią jos egzistavimą ir keliantį susirūpinimą dėl galimo jo prieinamumo Windows ir Linux platformose. Ši plėtra pabrėžia nuolatinius kriptovaliutų biržų iššūkius ir nuolatinį tvirtų saugumo priemonių poreikį apsisaugoti nuo naujų grėsmių.
Turinys
Grėsmės anatomija
Kenkėjiška „JokerSpy“ programa atsirado po to, kai tam tikras galinių taškų apsaugos įrankis aptiko įtartiną dvejetainį failą, pavadintą xcc. Kenkėjiškos programos auka buvo gerai žinoma kriptovaliutų birža Japonijoje. Kai pasirodė xcc failas, JokerSpy įsilaužėliai bandė apeiti „MacOS“ saugos priemones, žinomas kaip TCC, kurioms reikalingas aiškus vartotojo leidimas programoms pasiekti neskelbtinus duomenis ir išteklius. Grėsmių subjektai pakeitė esamą TCC duomenų bazę savo, greičiausiai, kad nebūtų rodomi įspėjimai, kai JokerSpy buvo aktyvus. Ankstesnėse atakose įsilaužėliai išnaudojo TCC apsaugos spragas, kad jas apeitų, o tyrėjai pademonstravo panašias atakas.
Pagrindinis JokerSpy kenkėjiškos programos variklis turi keletą galinių durų funkcijų, kurios leidžia atlikti neteisėtus veiksmus ir kontroliuoti pažeistą sistemą. Šios funkcijos apima galinių durų (sk) vykdymo sustabdymą, failų įtraukimą į nurodytą kelią (l), apvalkalo komandų vykdymą ir išvesties grąžinimą (c), esamo katalogo keitimą ir naujo kelio (cd) suteikimą, Python kodo vykdymą esamą kontekstą naudojant pateiktą parametrą (xs), iššifruoti ir vykdyti Base64 koduotą Python kodą (xsi), pašalinti failus ar katalogus iš sistemos (r), vykdyti failus iš sistemos su parametrais arba be jų (e), įkelti failus į užkrėstą sistemą (u), failų atsisiuntimą iš užkrėstos sistemos (d), dabartinės kenkėjiškos programos konfigūracijos nuskaitymą iš konfigūracijos failo (g) ir kenkėjiškos programos konfigūracijos failo nepaisymą naujomis reikšmėmis (w).
Šios komandos leidžia JokerSpy kenkėjiškajai programai atlikti įvairius neteisėtus veiksmus ir kontroliuoti pažeistą sistemą.
Kaip pranešama, kai sistema yra pažeista ir užkrėsta tokia kenkėjiška programa kaip JokerSpy, užpuolikas įgyja didelę sistemos kontrolę. Tačiau turėdami užpakalines duris, užpuolikai gali net diskretiškai įdiegti papildomų komponentų ir potencialiai vykdyti tolesnius išnaudojimus, stebėti vartotojų veiksmus, rinkti prisijungimo duomenis ar kriptovaliutų pinigines ir vykdyti kitą žalingą veiklą.
Infekcijos vektorius šiuo metu nežinomas
Tyrėjai vis dar nėra tikri dėl tikslaus JokerSpy diegimo metodo. Kai kurie tvirtai tiki, kad pradinis šios kenkėjiškos programos prieigos taškas buvo susijęs su nesaugiu arba pažeistu papildiniu arba priklausomybe nuo trečiosios šalies, kuri grėsmės veikėjui suteikė neteisėtą prieigą. Ši teorija atitinka „Bitdefender“ tyrėjų pastebėjimus, kurie „sh.py backdoor“ versijoje rado užkoduotą domeną, susiejantį su tviterio žinutėmis, kuriose aptariamas užkrėstas „MacOS“ QR kodo skaitytuvas, turintis nesaugią priklausomybę. Taip pat buvo pažymėta, kad stebimas grėsmės veikėjas jau turėjo prieigą prie Japonijos kriptovaliutų biržos.
Norėdami nustatyti galimą JokerSpy taikymą, asmenys gali ieškoti konkrečių rodiklių. Tai apima skirtingų xcc ir sh.py pavyzdžių kriptografinę maišą ir kontaktą su domenais, pvz., git-hub[.]me ir app.influmarket[.]org. Nors iš pradžių JokerSpy dauguma saugos variklių nepastebėjo, dabar jį gali aptikti platesnis variklių asortimentas. Nors nėra patvirtinimo, kad egzistuoja JokerSpy Windows ar Linux versijos, būtina žinoti, kad tokia galimybė egzistuoja.
Kriptovaliutų birža tapo precedento neturinčios ir niokojančios „Mac“ kenkėjiškų programų atakos auka ekrano kopijos
