JokerSpy Bakdør

Cybersikkerhetsforskere har avdekket en tidligere ukjent Mac-malware som har infisert en kryptovalutabørs. Denne spesielle skadevare, kalt JokerSpy, skiller seg ut på grunn av dets omfattende utvalg av funksjoner, og utgjør en uttrykksfull trussel mot sikkerheten og personvernet til berørte systemer.

JokerSpy er laget med programmeringsspråket Python. Den viser et bredt utvalg av ondsinnede funksjoner, og dens omfattende pakke med verktøy gjør den i stand til ikke bare å stjele private data, men også å laste ned og kjøre ytterligere skadelige filer. Som et resultat kan ofre bli utsatt for enda større potensiell skade.

Interessant nok bruker JokerSpy et åpen kildekodeverktøy kalt SwiftBelt, opprinnelig laget for legitime sikkerhetseksperter for å vurdere nettverkssårbarheter. Denne bruken av legitime verktøy for ondsinnede formål viser tilpasningsevnen og sofistikeringen til skadevaren.

Mens fokuset for denne oppdagelsen dreier seg om Mac malware, er det verdt å merke seg at forskerne også har oppdaget elementer som indikerer eksistensen av JokerSpy-varianter for Windows- og Linux-plattformer. Dette antyder at skaperne av JokerSpy har utviklet versjoner rettet mot disse populære operativsystemene, og dermed utvidet deres rekkevidde og potensielle innvirkning på flere plattformer.

JokerSpy omgår MacOS-sikkerhetsbeskyttelsen

Den uidentifiserte trusselaktøren bak JokerSpy har blitt observert å bruke en teknikk for å omgå macOS-beskyttelsen for åpenhet, samtykke og kontroll (TCC). Vanligvis vil de kreve eksplisitt brukertillatelse for programmer for å få tilgang til sensitive ressurser på en Mac, for eksempel harddisken og kontakter eller muligheten til å ta opp skjermen.

For å oppnå målet sitt, erstattet trusselaktørene den eksisterende TCC-databasen med sin egen, med sikte på å undertrykke alle varsler som typisk vil bli utløst når JokerSpy-malwaren kjøres. Tidligere angrep har vist at trusselaktører kan utnytte sårbarheter innenfor TCC-beskyttelsen for å omgå dem.

I dette spesielle tilfellet spiller den kjørbare xcc-komponenten til JokerSpy en avgjørende rolle i utnyttelsen. Den utfører en kontroll av TCC-tillatelsene, og bestemmer den aktive applikasjonen som brukeren samhandlet med. Deretter fortsetter det å laste ned og installere sh.py, den primære motoren som er ansvarlig for å kjøre JokerSpy malware.

Ved å bruke denne metoden klarer trusselaktørene å dra nytte av en null-dagers sårbarhet i macOS, og gir dem muligheten til å ta skjermbilder av kompromitterte Mac-enheter.

De mange truende egenskapene som finnes i JokerSpy-bakdøren

Når et system blir kompromittert og infisert med JokerSpy, får angriperen betydelig kontroll over det. Mulighetene som denne skadevaretrusselen viser, omfatter et bredt spekter av funksjoner og handlinger som kan utføres i samsvar med angripernes spesifikke mål.

Disse funksjonene inkluderer muligheten til å stoppe utførelsen av JokerSpy-bakdøren som er tilstede i den ødelagte enheten. I tillegg gjør skadelig programvare angriperen i stand til å liste filer som ligger i en spesifisert bane, utføre skallkommandoer og hente utdataene deres, navigere og endre kataloger, og kjøre Python-kode innenfor gjeldende kontekst.

JokerSpy har også muligheten til å dekode Base64-kodet Python-kode gitt som en parameter, kompilere den og deretter kjøre den i det infiserte systemet. Dessuten gjør skadelig programvare det mulig for angriperen å slette filer eller kataloger fra det kompromitterte systemet, kjøre filer med eller uten parametere, laste opp filer til det infiserte systemet og laste ned filer fra det infiserte systemet.

Angriperne kan også instruere JokerSpy om å hente gjeldende konfigurasjon av skadelig programvare som er lagret i konfigurasjonsfilen. Denne konfigurasjonen kan nås og manipuleres av angriperen for å passe deres mål, siden de kan overstyre den eksisterende konfigurasjonsfilen med nye verdier som stemmer overens med deres ondsinnede intensjoner.

Ved å vise disse ulike funksjonene og handlingene, gir JokerSpy angriperen et omfattende sett med verktøy for å utøve kontroll og utføre ondsinnede aktiviteter i det kompromitterte systemet. Disse egenskapene understreker alvorlighetsgraden og den potensielle virkningen av infeksjoner med skadelig programvare, og understreker den kritiske betydningen av å implementere robuste sikkerhetstiltak for å forhindre og redusere slike trusler.