Cryptocurrency Exchange wordt slachtoffer van ongekende en verwoestende Mac-malwareaanval
Bij een recente ontdekking hebben onderzoekers een nieuwe soort Mac-malware ontdekt die zich heeft gericht op een cryptocurrency-uitwisseling en een aanzienlijke bedreiging vormt voor de veiligheid van de fondsen van gebruikers. Deze geavanceerde malware, genaamd JokerSpy, vertoont een breed scala aan mogelijkheden, waaronder gegevensdiefstal, het downloaden en uitvoeren van bedreigende bestanden en mogelijke platformonafhankelijke functionaliteit. JokerSpy is geschreven in Python en maakt gebruik van SwiftBelt, een open-sourcetool die oorspronkelijk bedoeld was voor legitieme beveiligingstests. De eerste blootstelling van JokerSpy kwam aan het licht via een beveiligingsrapport, dat het bestaan ervan aan het licht bracht en zorgen wekte over de mogelijke beschikbaarheid ervan op Windows- en Linux-platforms. Deze ontwikkeling benadrukt de voortdurende uitdagingen van cryptocurrency-uitwisselingen en de constante behoefte aan robuuste beveiligingsmaatregelen ter bescherming tegen opkomende bedreigingen.
Inhoudsopgave
Anatomie van de dreiging
De JokerSpy-malware ontstond nadat een bepaald hulpprogramma voor eindpuntbeveiliging een verdacht binair bestand met de naam xcc had gedetecteerd. Het slachtoffer waarop de malware het doelwit was, was een bekende cryptocurrency-uitwisseling in Japan. Toen het xcc-bestand eenmaal tevoorschijn kwam, probeerden de hackers achter JokerSpy de beveiligingsbescherming van macOS, bekend als TCC, te omzeilen, die expliciete gebruikerstoestemming vereist voor applicaties om toegang te krijgen tot gevoelige gegevens en bronnen. De bedreigingsactoren hebben de bestaande TCC-database vervangen door hun eigen, waarschijnlijk om te voorkomen dat waarschuwingen verschijnen wanneer JokerSpy actief was. Bij eerdere aanvallen maakten hackers misbruik van kwetsbaarheden in de TCC-beveiligingen om deze te omzeilen, en onderzoekers hebben vergelijkbare aanvallen aangetoond.
De hoofdmotor van de JokerSpy-malware heeft meerdere backdoor-functionaliteiten die ongeautoriseerde acties mogelijk maken en controle bieden over het gecompromitteerde systeem. Deze functionaliteiten omvatten het stoppen van de uitvoering van de backdoor (sk), het weergeven van bestanden in een opgegeven pad (l), het uitvoeren van shell-commando's en het retourneren van uitvoer (c), het wijzigen van de huidige map en het verstrekken van het nieuwe pad (cd), het uitvoeren van Python-code binnen de huidige context met behulp van een opgegeven parameter (xs), decoderen en uitvoeren van Base64-gecodeerde Python-code (xsi), bestanden of mappen van het systeem verwijderen (r), bestanden van het systeem uitvoeren met of zonder parameters (e), bestanden uploaden naar het geïnfecteerde systeem (u), bestanden downloaden van het geïnfecteerde systeem (d), de huidige configuratie van de malware ophalen uit het configuratiebestand (g) en het configuratiebestand van de malware vervangen door nieuwe waarden (w).
Met deze opdrachten kan de JokerSpy-malware verschillende ongeautoriseerde acties uitvoeren en controle uitoefenen over het gecompromitteerde systeem.
Zoals gemeld, krijgt de aanvaller, zodra een systeem is gecompromitteerd en geïnfecteerd met malware zoals JokerSpy, aanzienlijke controle over het systeem. Met een achterdeur kunnen aanvallers echter zelfs discreet extra componenten installeren en mogelijk verdere exploits uitvoeren, de acties van gebruikers observeren, inloggegevens of cryptocurrency-portemonnees verzamelen en andere schadelijke activiteiten uitvoeren.
Infectievector momenteel onbekend
Onderzoekers zijn nog steeds onzeker over de precieze installatiemethode van JokerSpy. Sommigen zijn ervan overtuigd dat het initiële toegangspunt voor deze malware een onveilige of gecompromitteerde plug-in of een afhankelijkheid van een derde partij was die de bedreigingsactor ongeoorloofde toegang verschafte. Deze theorie komt overeen met observaties van Bitdefender-onderzoekers, die een hardgecodeerd domein vonden in een versie van de sh.py-achterdeur die linkte naar tweets waarin een geïnfecteerde macOS QR-codelezer met een onveilige afhankelijkheid werd besproken. Er werd ook opgemerkt dat de geobserveerde bedreigingsactor al een bestaande toegang had tot de Japanse cryptocurrency-uitwisseling.
Om potentiële targeting door JokerSpy te identificeren, kunnen individuen naar specifieke indicatoren zoeken. Deze omvatten cryptografische hashes van verschillende voorbeelden van xcc en sh.py en contact met domeinen, zoals git-hub[.]me en app.influmarket[.]org. Terwijl JokerSpy aanvankelijk onopgemerkt bleef door de meeste beveiligingsengines, kan een breder scala aan engines het nu detecteren. Hoewel er geen bevestiging is van het bestaan van Windows- of Linux-versies van JokerSpy, is het essentieel om te weten dat deze mogelijkheid bestaat.
Cryptocurrency Exchange wordt slachtoffer van ongekende en verwoestende Mac-malwareaanval schermafbeeldingen
