JokerSpy Backdoor
Kiberdrošības pētnieki ir atklājuši iepriekš nezināmu Mac ļaunprogrammatūru, kas veiksmīgi inficējusi kriptovalūtas biržu. Šī īpašā ļaunprogrammatūra, ko sauc par JokerSpy, izceļas ar savu plašo iespēju klāstu, radot izteiktus draudus ietekmēto sistēmu drošībai un privātumam.
JokerSpy ir izveidots, izmantojot Python programmēšanas valodu. Tam ir plašs ļaunprātīgu funkciju klāsts, un tā visaptverošais rīku komplekts ļauj ne tikai zagt privātos datus, bet arī lejupielādēt un izpildīt papildu ļaunprātīgus failus. Tā rezultātā cietušie var tikt pakļauti vēl lielākam iespējamam kaitējumam.
Interesanti, ka JokerSpy izmanto atvērtā pirmkoda rīku SwiftBelt, kas sākotnēji tika izveidots likumīgiem drošības speciālistiem, lai novērtētu tīkla ievainojamības. Šī likumīgo rīku izmantošana negodīgos nolūkos parāda ļaunprātīgas programmatūras pielāgošanās spēju un izsmalcinātību.
Lai gan šī atklājuma uzmanības centrā ir Mac ļaunprātīga programmatūra, ir vērts atzīmēt, ka pētnieki ir atklājuši arī elementus, kas norāda uz JokerSpy variantu esamību Windows un Linux platformām. Tas liecina, ka JokerSpy veidotāji ir izstrādājuši versijas, kas paredzētas šīm populārajām operētājsistēmām, tādējādi paplašinot to sasniedzamību un iespējamo ietekmi vairākās platformās.
JokerSpy apiet MacOS drošības aizsardzību
Tika novērots, ka neidentificēts apdraudējums, kas atrodas aiz JokerSpy, izmanto paņēmienu, lai apietu MacOS pārredzamības, piekrišanas un kontroles (TCC) aizsardzību. Parasti tām būtu nepieciešama skaidra lietotāja atļauja lietojumprogrammām piekļūt sensitīviem resursiem Mac datorā, piemēram, cietajam diskam un kontaktpersonām vai iespējai ierakstīt ekrānu.
Lai sasniegtu savu mērķi, draudu dalībnieki aizstāja esošo TCC datu bāzi ar savu, cenšoties apspiest visus brīdinājumus, kas parasti tiktu aktivizēti, kad tiek izpildīta JokerSpy ļaunprogrammatūra. Iepriekšējie uzbrukumi ir parādījuši, ka apdraudējuma dalībnieki var izmantot TCC aizsardzības ievainojamības, lai tās veiksmīgi apietu.
Šajā konkrētajā gadījumā JokerSpy izpildāmajam xcc komponentam ir izšķiroša nozīme ekspluatācijā. Tā veic TCC atļauju pārbaudi, nosakot pašlaik aktīvo lietojumprogrammu, ar kuru lietotājs mijiedarbojās. Pēc tam tiek lejupielādēts un instalēts sh.py — galvenais dzinējs, kas atbild par ļaunprogrammatūras JokerSpy palaišanu.
Izmantojot šo metodi, apdraudējuma dalībniekiem izdodas izmantot MacOS nulles dienas ievainojamību, nodrošinot viņiem iespēju tvert apdraudēto Mac ierīču ekrānuzņēmumus.
Vairākas draudu iespējas, kas atrodamas JokerSpy Backdoor
Kad sistēma tiek apdraudēta un inficēta ar JokerSpy, uzbrucējs iegūst ievērojamu kontroli pār to. Šī ļaunprātīgas programmatūras draudu piedāvātās iespējas ietver plašu funkciju un darbību klāstu, ko var izpildīt atbilstoši uzbrucēja konkrētajiem mērķiem.
Šīs funkcijas ietver iespēju apturēt JokerSpy aizmugures durvju izpildi, kas atrodas bojātajā ierīcē. Turklāt ļaunprogrammatūra ļauj uzbrucējam uzskaitīt failus, kas atrodas noteiktā ceļā, izpildīt čaulas komandas un izgūt to izvadi, pārvietoties un mainīt direktorijus, kā arī izpildīt Python kodu pašreizējā kontekstā.
JokerSpy ir arī iespēja atšifrēt Base64 kodētu Python kodu, kas tiek nodrošināts kā parametrs, kompilēt to un pēc tam izpildīt inficētajā sistēmā. Turklāt ļaunprogrammatūra ļauj uzbrucējam dzēst failus vai direktorijus no apdraudētās sistēmas, izpildīt failus ar vai bez parametriem, augšupielādēt failus inficētajā sistēmā un lejupielādēt failus no inficētās sistēmas.
Uzbrucēji var arī norādīt JokerSpy izgūt pašreizējo konfigurācijas failā saglabātās ļaunprogrammatūras konfigurāciju. Uzbrucējs var piekļūt šai konfigurācijai un ar to manipulēt, lai tā atbilstu saviem mērķiem, jo viņi var ignorēt esošo konfigurācijas failu ar jaunām vērtībām, kas atbilst viņu ļaunprātīgajiem nodomiem.
Parādot šīs dažādās funkcijas un darbības, JokerSpy nodrošina uzbrucējam visaptverošu rīku komplektu, lai kontrolētu un veiktu ļaunprātīgas darbības apdraudētajā sistēmā. Šīs iespējas uzsver ļaunprātīgas programmatūras infekciju smagumu un iespējamo ietekmi, uzsverot stingru drošības pasākumu ieviešanas būtisko nozīmi, lai novērstu un mazinātu šādus draudus.
