JokerSpy achterdeur
Cyberbeveiligingsonderzoekers hebben een voorheen onbekende Mac-malware ontdekt die met succes een cryptocurrency-uitwisseling heeft geïnfecteerd. Deze specifieke malware, JokerSpy genaamd, valt op door zijn uitgebreide scala aan mogelijkheden en vormt een duidelijke bedreiging voor de veiligheid en privacy van getroffen systemen.
JokerSpy is gemaakt met behulp van de programmeertaal Python. Het vertoont een breed scala aan schadelijke functionaliteiten en dankzij de uitgebreide reeks tools kan het niet alleen privégegevens stelen, maar ook aanvullende schadelijke bestanden downloaden en uitvoeren. Als gevolg hiervan kunnen slachtoffers worden blootgesteld aan nog grotere potentiële schade.
Interessant is dat JokerSpy gebruikmaakt van een open-source tool genaamd SwiftBelt, oorspronkelijk gemaakt voor legitieme beveiligingsprofessionals om netwerkkwetsbaarheden te beoordelen. Dit gebruik van legitieme tools voor snode doeleinden toont het aanpassingsvermogen en de verfijning van de malware aan.
Hoewel de focus van deze ontdekking draait om Mac-malware, is het vermeldenswaard dat de onderzoekers ook elementen hebben gedetecteerd die wijzen op het bestaan van JokerSpy-varianten voor Windows- en Linux-platforms. Dit suggereert dat de makers van JokerSpy versies hebben ontwikkeld die gericht zijn op deze populaire besturingssystemen, waardoor hun bereik en potentiële impact over meerdere platforms wordt vergroot.
JokerSpy omzeilt de MacOS-beveiligingen
Er is waargenomen dat de niet-geïdentificeerde bedreigingsactor achter JokerSpy een techniek gebruikt om de macOS-beveiligingen voor transparantie, toestemming en controle (TCC) te omzeilen. Normaal gesproken hebben ze expliciete toestemming van de gebruiker nodig voor toepassingen om toegang te krijgen tot gevoelige bronnen op een Mac, zoals de harde schijf en contacten of de mogelijkheid om het scherm op te nemen.
Om hun doel te bereiken, hebben de bedreigingsactoren de bestaande TCC-database vervangen door hun eigen database, met als doel alle waarschuwingen te onderdrukken die normaal gesproken zouden worden geactiveerd wanneer de JokerSpy-malware wordt uitgevoerd. Eerdere aanvallen hebben aangetoond dat bedreigingsactoren kwetsbaarheden binnen de TCC-beveiligingen kunnen misbruiken om deze met succes te omzeilen.
In dit specifieke geval speelt de uitvoerbare xcc-component van JokerSpy een cruciale rol in de exploit. Het voert een controle uit op de TCC-machtigingen en bepaalt de momenteel actieve applicatie waarmee de gebruiker interactie had. Vervolgens gaat het verder met het downloaden en installeren van sh.py, de primaire engine die verantwoordelijk is voor het uitvoeren van de JokerSpy-malware.
Door deze methode te gebruiken, slagen de aanvallers erin om te profiteren van een zero-day-kwetsbaarheid in macOS, waardoor ze screenshots kunnen maken van gecompromitteerde Mac-apparaten.
De meerdere bedreigende mogelijkheden gevonden in de JokerSpy Backdoor
Zodra een systeem wordt gecompromitteerd en geïnfecteerd met JokerSpy, krijgt de aanvaller er aanzienlijke controle over. De mogelijkheden van deze malwaredreiging omvatten een breed scala aan functies en acties die kunnen worden uitgevoerd in overeenstemming met de specifieke doelen van de aanvallers.
Deze functies omvatten de mogelijkheid om de uitvoering van de JokerSpy-achterdeur in het geschonden apparaat te stoppen. Bovendien stelt de malware de aanvaller in staat om bestanden op een bepaald pad weer te geven, shell-commando's uit te voeren en hun uitvoer op te halen, te navigeren en van map te veranderen en Python-code uit te voeren binnen de huidige context.
JokerSpy heeft ook de mogelijkheid om Base64-gecodeerde Python-code die als parameter wordt geleverd, te decoderen, te compileren en vervolgens uit te voeren binnen het geïnfecteerde systeem. Bovendien stelt de malware de aanvaller in staat om bestanden of mappen van het gecompromitteerde systeem te verwijderen, bestanden met of zonder parameters uit te voeren, bestanden naar het geïnfecteerde systeem te uploaden en bestanden van het geïnfecteerde systeem te downloaden.
De aanvallers kunnen JokerSpy ook instrueren om de huidige configuratie van de malware die in het configuratiebestand is opgeslagen op te halen. Deze configuratie kan door de aanvaller worden geopend en gemanipuleerd om aan hun doelstellingen te voldoen, omdat ze het bestaande configuratiebestand kunnen overschrijven met nieuwe waarden die aansluiten bij hun kwaadaardige bedoelingen.
Door deze verschillende functies en acties te tonen, biedt JokerSpy de aanvaller een uitgebreide set tools om controle uit te oefenen en kwaadaardige activiteiten uit te voeren binnen het gecompromitteerde systeem. Deze mogelijkheden onderstrepen de ernst en potentiële impact van malware-infecties en benadrukken het cruciale belang van het implementeren van robuuste beveiligingsmaatregelen om dergelijke bedreigingen te voorkomen en te beperken.
