Cryptocurrency Exchange blir offer for enestående og ødeleggende Mac Malware-angrep
I en nylig oppdagelse har forskere avdekket en ny stamme av Mac-malware som har rettet seg mot en kryptovalutautveksling, og utgjør en betydelig trussel mot sikkerheten til brukernes midler. Denne sofistikerte skadevare, kalt JokerSpy, viser et bredt spekter av funksjoner, inkludert datatyveri, nedlasting og utføring av truende filer og potensiell funksjonalitet på tvers av plattformer. JokerSpy, skrevet i Python, utnytter SwiftBelt, et åpen kildekodeverktøy som opprinnelig var beregnet på legitim sikkerhetstesting. Den første eksponeringen av JokerSpy kom til syne gjennom en sikkerhetsrapport, som avslørte dens eksistens og vekket bekymringer om dens potensielle tilgjengelighet på Windows- og Linux-plattformer. Denne utviklingen fremhever kryptovalutabørsers pågående utfordringer og det konstante behovet for robuste sikkerhetstiltak for å beskytte mot nye trusler.
Innholdsfortegnelse
Trusselens anatomi
JokerSpy malware dukket opp etter at et bestemt endepunktbeskyttelsesverktøy oppdaget en mistenkelig binær fil kalt xcc. Offeret som ble målrettet av skadelig programvare var en velkjent kryptovalutabørs i Japan. Når xcc-filen dukket opp, forsøkte hackerne bak JokerSpy å omgå macOS' sikkerhetsbeskyttelse, kjent som TCC, som krever eksplisitt brukertillatelse for at applikasjoner skal få tilgang til sensitive data og ressurser. Trusselaktørene erstattet den eksisterende TCC-databasen med sin egen, sannsynligvis for å forhindre at varsler vises når JokerSpy var aktiv. I tidligere angrep har hackere utnyttet sårbarheter i TCC-beskyttelsen for å omgå dem, og forskere har demonstrert lignende angrep.
Hovedmotoren til JokerSpy malware har flere bakdørsfunksjoner som tillater uautoriserte handlinger og gir kontroll over det kompromitterte systemet. Disse funksjonalitetene inkluderer å stoppe kjøringen av bakdøren (sk), liste filer i en spesifisert bane (l), utføre skallkommandoer og returnere utdata (c), endre gjeldende katalog og oppgi den nye banen (cd), utføre Python-kode innenfor gjeldende kontekst ved å bruke en gitt parameter (xs), dekoding og utførelse av Base64-kodet Python-kode (xsi), fjerning av filer eller kataloger fra systemet (r), kjøre filer fra systemet med eller uten parametere (e), laste opp filer til det infiserte systemet (u), laste ned filer fra det infiserte systemet (d), hente gjeldende konfigurasjon av skadelig programvare fra konfigurasjonsfilen (g), og overstyre skadevarens konfigurasjonsfil med nye verdier (w).
Disse kommandoene lar JokerSpy malware utføre ulike uautoriserte handlinger og utøve kontroll over det kompromitterte systemet.
Som rapportert, når et system er kompromittert og infisert med skadelig programvare som JokerSpy, får angriperen betydelig kontroll over systemet. Med en bakdør kan imidlertid angripere til og med installere tilleggskomponenter diskret og potensielt utføre ytterligere utnyttelser, observere brukernes handlinger, samle inn påloggingsinformasjon eller kryptovaluta-lommebøker og utføre andre skadelige aktiviteter.
Infeksjonsvektor foreløpig ukjent
Forskere er fortsatt usikre på den nøyaktige metoden for JokerSpys installasjon. Noen mener sterkt at det første tilgangspunktet for denne skadelige programvaren innebar en usikker eller kompromittert plugin eller tredjepartsavhengighet som ga trusselaktøren uautorisert tilgang. Denne teorien stemmer overens med observasjoner gjort av Bitdefender-forskere, som fant et hardkodet domene i en versjon av sh.py-bakdøren som lenker til tweets som diskuterer en infisert macOS QR-kodeleser med en usikker avhengighet. Det ble også bemerket at den observerte trusselaktøren allerede hadde forhåndseksisterende tilgang til den japanske kryptovalutabørsen.
For å identifisere potensiell målretting av JokerSpy, kan enkeltpersoner se etter spesifikke indikatorer. Disse inkluderer kryptografiske hasher av forskjellige eksempler på xcc og sh.py og kontakt med domener, for eksempel git-hub[.]me og app.influmarket[.]org. Mens JokerSpy i utgangspunktet ikke ble lagt merke til av de fleste sikkerhetsmotorer, kan et bredere utvalg av motorer nå oppdage det. Selv om det ikke er noen bekreftelse på at det finnes Windows- eller Linux-versjoner av JokerSpy, er det viktig å være klar over at denne muligheten eksisterer.
Cryptocurrency Exchange blir offer for enestående og ødeleggende Mac Malware-angrep skjermbilder
