Giełda kryptowalut pada ofiarą bezprecedensowego i niszczycielskiego ataku złośliwego oprogramowania na komputery Mac
W ramach niedawnego odkrycia badacze odkryli nowy szczep złośliwego oprogramowania dla komputerów Mac, którego celem była giełda kryptowalut, stanowiąca poważne zagrożenie dla bezpieczeństwa funduszy użytkowników. To wyrafinowane złośliwe oprogramowanie o nazwie JokerSpy wykazuje szeroki zakres możliwości, w tym kradzież danych, pobieranie i uruchamianie groźnych plików oraz potencjalną funkcjonalność międzyplatformową. Napisany w Pythonie, JokerSpy wykorzystuje SwiftBelt, narzędzie typu open source, pierwotnie przeznaczone do legalnych testów bezpieczeństwa. Początkowa ekspozycja na JokerSpy wyszła na jaw dzięki raportowi bezpieczeństwa, ujawniając jego istnienie i budząc obawy co do jego potencjalnej dostępności na platformach Windows i Linux. Rozwój ten podkreśla ciągłe wyzwania stojące przed giełdami kryptowalut i stałą potrzebę solidnych środków bezpieczeństwa w celu ochrony przed pojawiającymi się zagrożeniami.
Spis treści
Anatomia zagrożenia
Złośliwe oprogramowanie JokerSpy pojawiło się po wykryciu przez określone narzędzie ochrony punktu końcowego podejrzanego pliku binarnego o nazwie xcc. Ofiarą atakowaną przez szkodliwe oprogramowanie była dobrze znana giełda kryptowalut w Japonii. Po pojawieniu się pliku xcc hakerzy stojący za JokerSpy próbowali ominąć zabezpieczenia systemu macOS, znane jako TCC, które wymagają wyraźnej zgody użytkownika, aby aplikacje miały dostęp do poufnych danych i zasobów. Cyberprzestępcy zastąpili istniejącą bazę danych TCC własną, prawdopodobnie w celu zapobieżenia pojawianiu się alertów, gdy JokerSpy był aktywny. W poprzednich atakach hakerzy wykorzystywali luki w zabezpieczeniach TCC, aby je ominąć, a badacze zademonstrowali podobne ataki.
Główny silnik złośliwego oprogramowania JokerSpy ma wiele funkcji backdoora, które umożliwiają nieautoryzowane działania i zapewniają kontrolę nad zaatakowanym systemem. Funkcjonalności te obejmują zatrzymanie wykonywania backdoora (sk), wyświetlanie plików w określonej ścieżce (l), wykonywanie poleceń powłoki i zwracanie wyjścia (c), zmianę bieżącego katalogu i podanie nowej ścieżki (cd), wykonywanie kodu Pythona w bieżący kontekst przy użyciu podanego parametru (xs), dekodowanie i wykonywanie kodu Python zakodowanego w Base64 (xsi), usuwanie plików lub katalogów z systemu (r), uruchamianie plików z systemu z parametrami lub bez (e), przesyłanie plików do zainfekowanego systemu (u), pobierania plików z zainfekowanego systemu (d), pobierania aktualnej konfiguracji złośliwego oprogramowania z pliku konfiguracyjnego (g) oraz nadpisywania pliku konfiguracyjnego złośliwego oprogramowania nowymi wartościami (w).
Polecenia te pozwalają złośliwemu oprogramowaniu JokerSpy na wykonywanie różnych nieautoryzowanych działań i sprawowanie kontroli nad zaatakowanym systemem.
Jak informowaliśmy, gdy system zostanie naruszony i zainfekowany złośliwym oprogramowaniem, takim jak JokerSpy, osoba atakująca uzyskuje znaczną kontrolę nad systemem. Jednak za pomocą backdoora osoby atakujące mogą nawet dyskretnie instalować dodatkowe komponenty i potencjalnie wykonywać dalsze exploity, obserwować działania użytkowników, zbierać dane logowania lub portfele kryptowalut oraz wykonywać inne szkodliwe działania.
Wektor infekcji obecnie nieznany
Badacze wciąż nie są pewni dokładnej metody instalacji JokerSpy. Niektórzy są przekonani, że początkowy punkt dostępu dla tego złośliwego oprogramowania obejmował niebezpieczną lub zagrożoną wtyczkę lub zależność strony trzeciej, która zapewniła aktorowi atakującemu nieautoryzowany dostęp. Ta teoria jest zgodna z obserwacjami badaczy Bitdefender, którzy znaleźli zakodowaną na stałe domenę w wersji backdoora sh.py, która łączy się z tweetami omawiającymi zainfekowany czytnik kodów QR systemu macOS z niebezpieczną zależnością. Zauważono również, że obserwowany cyberprzestępca miał już wcześniej dostęp do japońskiej giełdy kryptowalut.
Aby zidentyfikować potencjalne cele kierowane przez JokerSpy, osoby mogą szukać określonych wskaźników. Obejmują one kryptograficzne skróty różnych próbek xcc i sh.py oraz kontakty z domenami, takimi jak git-hub[.]me i app.influmarket[.]org. Podczas gdy JokerSpy początkowo pozostawał niezauważony przez większość silników bezpieczeństwa, teraz może go wykryć szersza gama silników. Chociaż nie ma potwierdzenia istnienia wersji JokerSpy dla systemu Windows lub Linux, należy mieć świadomość, że taka możliwość istnieje.
Giełda kryptowalut pada ofiarą bezprecedensowego i niszczycielskiego ataku złośliwego oprogramowania na komputery Mac zrzutów ekranu
