JokerSpy Backdoor
Kibernetinio saugumo tyrinėtojai atskleidė anksčiau nežinomą „Mac“ kenkėjišką programą, kuri sėkmingai užkrėtė kriptovaliutų biržą. Ši konkreti kenkėjiška programa, vadinama JokerSpy, išsiskiria savo plačiu galimybių spektru, keliančia rimtą grėsmę paveiktų sistemų saugumui ir privatumui.
JokerSpy sukurta naudojant Python programavimo kalbą. Jame yra daugybė kenkėjiškų funkcijų, o platus įrankių rinkinys leidžia ne tik pasisavinti privačius duomenis, bet ir atsisiųsti bei vykdyti papildomus kenkėjiškus failus. Dėl to aukos gali patirti dar didesnę žalą.
Įdomu tai, kad JokerSpy naudoja atvirojo kodo įrankį, pavadintą SwiftBelt, kuris iš pradžių buvo sukurtas teisėtiems saugos specialistams, kad galėtų įvertinti tinklo pažeidžiamumą. Šis teisėtų įrankių naudojimas nešvankiems tikslams rodo kenkėjiškos programos pritaikomumą ir sudėtingumą.
Nors šio atradimo dėmesio centre yra „Mac“ kenkėjiška programa, verta paminėti, kad mokslininkai taip pat aptiko elementų, rodančių „JokerSpy“ variantų, skirtų „Windows“ ir „Linux“ platformoms, egzistavimą. Tai rodo, kad JokerSpy kūrėjai sukūrė versijas, skirtas šioms populiarioms operacinėms sistemoms, taip padidindami jų pasiekiamumą ir galimą poveikį keliose platformose.
JokerSpy apeina „MacOS“ saugos apsaugą
Pastebėta, kad nenustatytas JokerSpy grėsmės veikėjas naudoja techniką, kad apeitų „macOS“ skaidrumo, sutikimo ir valdymo (TCC) apsaugą. Paprastai jiems reikia aiškaus vartotojo leidimo, kad programos galėtų pasiekti jautrius „Mac“ išteklius, tokius kaip standusis diskas ir kontaktai arba galimybė įrašyti ekraną.
Siekdami savo tikslo, grėsmės veikėjai pakeitė esamą TCC duomenų bazę savo, siekdami nuslopinti visus įspėjimus, kurie paprastai būtų suaktyvinti, kai vykdoma JokerSpy kenkėjiška programa. Ankstesnės atakos parodė, kad grėsmės veikėjai gali išnaudoti TCC apsaugos pažeidžiamumą, kad juos sėkmingai apeitų.
Šiuo konkrečiu atveju JokerSpy vykdomasis xcc komponentas vaidina lemiamą vaidmenį išnaudojant. Jis tikrina TCC leidimus, nustatydamas šiuo metu aktyvią programą, su kuria vartotojas sąveikavo. Vėliau atsisiunčiama ir įdiegiama sh.py – pagrindinis variklis, atsakingas už JokerSpy kenkėjiškos programos paleidimą.
Naudodami šį metodą, grėsmės veikėjai sugeba pasinaudoti nulinės dienos „macOS“ pažeidžiamumu, suteikdami jiems galimybę užfiksuoti pažeistų „Mac“ įrenginių ekrano kopijas.
„JokerSpy Backdoor“ aptiktos kelios grėsmingos galimybės
Kai sistema pažeidžiama ir užkrečiama JokerSpy, užpuolikas įgyja didelę jos kontrolę. Šios kenkėjiškų programų grėsmės teikiamos galimybės apima daugybę funkcijų ir veiksmų, kuriuos galima atlikti pagal konkrečius užpuolikų tikslus.
Šios funkcijos apima galimybę sustabdyti JokerSpy galinių durų, esančių pažeistame įrenginyje, vykdymą. Be to, kenkėjiška programa leidžia užpuolikui išvardyti failus, esančius nurodytame kelyje, vykdyti apvalkalo komandas ir nuskaityti jų išvestį, naršyti ir keisti katalogus bei vykdyti Python kodą esamame kontekste.
JokerSpy taip pat turi galimybę iššifruoti Base64 koduotą Python kodą, pateiktą kaip parametras, jį kompiliuoti ir vėliau vykdyti užkrėstoje sistemoje. Be to, kenkėjiška programa leidžia užpuolikui ištrinti failus ar katalogus iš pažeistos sistemos, vykdyti failus su parametrais arba be jų, įkelti failus į užkrėstą sistemą ir atsisiųsti failus iš užkrėstos sistemos.
Užpuolikai taip pat gali nurodyti JokerSpy nuskaityti dabartinę konfigūracijos faile saugomos kenkėjiškos programos konfigūraciją. Šią konfigūraciją užpuolikas gali pasiekti ir manipuliuoti, kad atitiktų savo tikslus, nes gali nepaisyti esamo konfigūracijos failo su naujomis reikšmėmis, kurios atitinka jų kenkėjiškus ketinimus.
Parodydama šias įvairias funkcijas ir veiksmus, JokerSpy suteikia užpuolikui išsamų įrankių rinkinį, skirtą kontroliuoti ir vykdyti kenkėjišką veiklą pažeistoje sistemoje. Šios galimybės pabrėžia kenkėjiškų programų infekcijų sunkumą ir galimą poveikį, pabrėžiant itin svarbią patikimų saugos priemonių įgyvendinimą siekiant užkirsti kelią tokioms grėsmėms ir jas sumažinti.
