Kriptovalūtas birža kļūst par bezprecedenta un postoša Mac ļaunprātīgas programmatūras uzbrukuma upuri
Nesenā atklājumā pētnieki ir atklājuši jaunu Mac ļaunprātīgas programmatūras celmu, kas ir vērsta uz kriptovalūtas apmaiņu, radot nopietnus draudus lietotāju līdzekļu drošībai. Šai sarežģītajai ļaunprogrammatūrai ar nosaukumu JokerSpy ir plašs iespēju klāsts, tostarp datu zādzība, draudošu failu lejupielāde un izpilde, kā arī iespējama starpplatformu funkcionalitāte. JokerSpy, kas rakstīts Python valodā, izmanto SwiftBelt — atvērtā pirmkoda rīku, kas sākotnēji bija paredzēts likumīgai drošības pārbaudei. Sākotnējā JokerSpy atklāšana tika atklāta drošības ziņojumā, atklājot tā esamību un radot bažas par tā iespējamo pieejamību Windows un Linux platformās. Šī attīstība izceļ kriptovalūtu biržu pastāvīgās problēmas un pastāvīgo vajadzību pēc stingriem drošības pasākumiem, lai nodrošinātu aizsardzību pret jauniem draudiem.
Satura rādītājs
Apdraudējuma anatomija
JokerSpy ļaunprogrammatūra parādījās pēc tam, kad konkrēts galapunkta aizsardzības rīks atklāja aizdomīgu bināro failu ar nosaukumu xcc. Ļaunprātīgās programmatūras upuris bija Japānā plaši pazīstama kriptovalūtas birža. Kad parādījās xcc fails, JokerSpy hakeri mēģināja apiet macOS drošības aizsardzību, kas pazīstama kā TCC, kurai ir nepieciešama skaidra lietotāja atļauja lietojumprogrammām piekļūt sensitīviem datiem un resursiem. Draudu dalībnieki aizstāja esošo TCC datu bāzi ar savu, lai novērstu brīdinājumu parādīšanos, kad JokerSpy bija aktīvs. Iepriekšējos uzbrukumos hakeri izmantoja TCC aizsardzības ievainojamības, lai tās apietu, un pētnieki ir pierādījuši līdzīgus uzbrukumus.
JokerSpy ļaunprogrammatūras galvenajam dzinējam ir vairākas aizmugures durvis, kas ļauj veikt neatļautas darbības un nodrošina kontroli pār apdraudēto sistēmu. Šīs funkcijas ietver aizmugures durvju (sk) izpildes apturēšanu, failu uzskaitīšanu noteiktā ceļā (l), čaulas komandu izpildi un izvades atgriešanu (c), pašreizējā direktorija maiņu un jaunā ceļa (cd) nodrošināšanu, Python koda izpildi pašreizējais konteksts, izmantojot norādīto parametru (xs), Base64 kodēta Python koda (xsi) atkodēšana un izpilde, failu vai direktoriju noņemšana no sistēmas (r), failu izpilde no sistēmas ar vai bez parametriem (e), failu augšupielāde uz inficētā sistēma (u), failu lejupielāde no inficētās sistēmas (d), pašreizējās ļaunprogrammatūras konfigurācijas izgūšana no konfigurācijas faila (g) un ļaunprātīgas programmatūras konfigurācijas faila ignorēšana ar jaunām vērtībām (w).
Šīs komandas ļauj JokerSpy ļaunprogrammatūrai veikt dažādas neatļautas darbības un kontrolēt uzlauzto sistēmu.
Kā ziņots, tiklīdz sistēma ir apdraudēta un inficēta ar tādu ļaunprātīgu programmatūru kā JokerSpy, uzbrucējs iegūst ievērojamu kontroli pār sistēmu. Tomēr, izmantojot aizmugures durvis, uzbrucēji var pat diskrēti instalēt papildu komponentus un, iespējams, veikt turpmākus ekspluatāciju, novērot lietotāju darbības, vākt pieteikšanās akreditācijas datus vai kriptovalūtas makus un veikt citas kaitīgas darbības.
Infekcijas vektors pašlaik nav zināms
Pētnieki joprojām nav pārliecināti par precīzu JokerSpy instalēšanas metodi. Daži ir stingri pārliecināti, ka šīs ļaunprātīgās programmatūras sākotnējais piekļuves punkts bija saistīts ar nedrošu vai apdraudētu spraudni vai trešās puses atkarību, kas nodrošināja draudu izpildītājam nesankcionētu piekļuvi. Šī teorija saskan ar Bitdefender pētnieku novērojumiem, kuri sh.py backdoor versijā atrada cietkodētu domēnu, kas saistās ar tvītiem, kuros apspriests inficēts macOS QR koda lasītājs ar nedrošu atkarību. Tika arī atzīmēts, ka novērotajam apdraudējuma dalībniekam jau bija iepriekšēja piekļuve Japānas kriptovalūtas biržai.
Lai identificētu iespējamo JokerSpy mērķauditorijas atlasi, personas var meklēt konkrētus rādītājus. Tie ietver dažādu xcc un sh.py paraugu kriptogrāfijas jaucējus un kontaktus ar domēniem, piemēram, git-hub[.]me un app.influmarket[.]org. Lai gan JokerSpy sākotnēji nepamanīja lielākā daļa drošības dzinēju, tagad to var noteikt plašāks dzinēju klāsts. Lai gan nav apstiprinājuma par JokerSpy Windows vai Linux versiju esamību, ir svarīgi apzināties, ka šāda iespēja pastāv.
Kriptovalūtas birža kļūst par bezprecedenta un postoša Mac ļaunprātīgas programmatūras uzbrukuma upuri ekrānuzņēmumi
