Pintu Belakang JokerSpy

Penyelidik keselamatan siber telah menemui perisian hasad Mac yang tidak diketahui sebelum ini yang telah berjaya menjangkiti pertukaran mata wang kripto. Perisian hasad khusus ini, yang dipanggil JokerSpy, menonjol kerana rangkaian keupayaannya yang luas, menimbulkan ancaman ekspresif terhadap keselamatan dan privasi sistem yang terjejas.

JokerSpy direka menggunakan bahasa pengaturcaraan Python. Ia mempamerkan pelbagai fungsi berniat jahat, dan set lengkap alatannya membolehkannya bukan sahaja mencuri data peribadi tetapi juga memuat turun dan melaksanakan fail berniat jahat tambahan. Akibatnya, mangsa boleh mengalami potensi kerosakan yang lebih besar.

Menariknya, JokerSpy memanfaatkan alat sumber terbuka bernama SwiftBelt, pada asalnya dicipta untuk profesional keselamatan yang sah untuk menilai kelemahan rangkaian. Penggunaan alat yang sah untuk tujuan jahat ini menunjukkan kebolehsuaian dan kecanggihan perisian hasad.

Walaupun tumpuan penemuan ini berkisar pada perisian hasad Mac, perlu diperhatikan bahawa para penyelidik juga telah mengesan unsur-unsur yang menunjukkan kewujudan varian JokerSpy untuk platform Windows dan Linux. Ini menunjukkan bahawa pencipta JokerSpy telah membangunkan versi yang menyasarkan sistem pengendalian popular ini, dengan itu mengembangkan jangkauan dan potensi impak mereka merentas pelbagai platform.

JokerSpy memintas Perlindungan Keselamatan MacOS

Aktor ancaman yang tidak dikenali di sebalik JokerSpy telah diperhatikan menggunakan teknik untuk memintas perlindungan Ketelusan, Persetujuan dan Kawalan (TCC) macOS. Biasanya, mereka memerlukan kebenaran pengguna yang jelas untuk aplikasi mengakses sumber sensitif pada Mac, seperti cakera keras dan kenalan atau keupayaan untuk merakam skrin.

Untuk mencapai objektif mereka, pelaku ancaman menggantikan pangkalan data TCC sedia ada dengan pangkalan data mereka sendiri, bertujuan untuk menyekat sebarang makluman yang biasanya akan dicetuskan apabila perisian hasad JokerSpy dilaksanakan. Serangan sebelumnya telah menunjukkan bahawa pelaku ancaman boleh mengeksploitasi kelemahan dalam perlindungan TCC untuk memintasnya dengan jayanya.

Dalam kes khusus ini, komponen boleh laku xcc JokerSpy memainkan peranan penting dalam eksploitasi. Ia melakukan semakan pada kebenaran TCC, menentukan aplikasi aktif yang sedang berinteraksi dengan pengguna. Selepas itu, ia meneruskan untuk memuat turun dan memasang sh.py, enjin utama yang bertanggungjawab untuk menjalankan perisian hasad JokerSpy.

Dengan menggunakan kaedah ini, pelaku ancaman berjaya mengambil kesempatan daripada kerentanan sifar hari dalam macOS, memberikan mereka keupayaan untuk menangkap tangkapan skrin peranti Mac yang terjejas.

Pelbagai Keupayaan Mengancam Ditemui dalam Pintu Belakang JokerSpy

Sebaik sahaja sistem terjejas dan dijangkiti JokerSpy, penyerang mendapat kawalan yang ketara ke atasnya. Keupayaan yang ditunjukkan oleh ancaman perisian hasad ini merangkumi pelbagai fungsi dan tindakan yang boleh dilaksanakan mengikut matlamat khusus penyerang.

Fungsi ini termasuk keupayaan untuk menghentikan pelaksanaan pintu belakang JokerSpy yang terdapat dalam peranti yang dilanggar. Selain itu, perisian hasad membolehkan penyerang menyenaraikan fail yang terletak dalam laluan tertentu, melaksanakan perintah shell dan mendapatkan semula outputnya, menavigasi dan menukar direktori dan melaksanakan kod Python dalam konteks semasa.

JokerSpy juga mempunyai keupayaan untuk menyahkod kod Python berkod Base64 yang disediakan sebagai parameter, menyusunnya, dan seterusnya melaksanakannya dalam sistem yang dijangkiti. Selain itu, perisian hasad membolehkan penyerang memadam fail atau direktori daripada sistem yang terjejas, melaksanakan fail dengan atau tanpa parameter, memuat naik fail ke sistem yang dijangkiti dan memuat turun fail daripada sistem yang dijangkiti.

Penyerang juga boleh mengarahkan JokerSpy untuk mendapatkan semula konfigurasi semasa perisian hasad yang disimpan dalam fail konfigurasi. Konfigurasi ini boleh diakses dan dimanipulasi oleh penyerang untuk disesuaikan dengan objektif mereka, kerana mereka boleh mengatasi fail konfigurasi sedia ada dengan nilai baharu yang sejajar dengan niat jahat mereka.

Dengan mempamerkan pelbagai fungsi dan tindakan ini, JokerSpy menyediakan penyerang satu set alat yang komprehensif untuk mengawal dan menjalankan aktiviti berniat jahat dalam sistem yang terjejas. Keupayaan ini menekankan keterukan dan potensi kesan jangkitan perisian hasad, menekankan kepentingan kritikal untuk melaksanakan langkah keselamatan yang teguh untuk mencegah dan mengurangkan ancaman tersebut.