Backdoor JokerSpy

Analitycy cyberbezpieczeństwa odkryli nieznane wcześniej złośliwe oprogramowanie dla komputerów Mac, które z powodzeniem zainfekowało giełdę kryptowalut. To konkretne złośliwe oprogramowanie, zwane JokerSpy, wyróżnia się szerokim zakresem możliwości, stwarzając wyraźne zagrożenie dla bezpieczeństwa i prywatności zagrożonych systemów.

JokerSpy jest tworzony przy użyciu języka programowania Python. Wykazuje szeroki wachlarz złośliwych funkcji, a jego kompleksowy zestaw narzędzi umożliwia nie tylko kradzież prywatnych danych, ale także pobieranie i uruchamianie dodatkowych złośliwych plików. W rezultacie ofiary mogą zostać narażone na jeszcze większe potencjalne szkody.

Co ciekawe, JokerSpy wykorzystuje narzędzie open source o nazwie SwiftBelt, pierwotnie stworzone dla legalnych specjalistów ds. bezpieczeństwa w celu oceny luk w zabezpieczeniach sieci. Przyjmowanie legalnych narzędzi do niecnych celów pokazuje zdolność adaptacji i wyrafinowanie złośliwego oprogramowania.

Chociaż odkrycie koncentruje się na szkodliwym oprogramowaniu dla komputerów Mac, warto zauważyć, że badacze wykryli również elementy wskazujące na istnienie wariantów JokerSpy dla platform Windows i Linux. Sugeruje to, że twórcy JokerSpy opracowali wersje ukierunkowane na te popularne systemy operacyjne, zwiększając w ten sposób ich zasięg i potencjalny wpływ na wiele platform.

JokerSpy omija zabezpieczenia systemu MacOS

Zaobserwowano, że niezidentyfikowany aktor stojący za JokerSpy stosuje technikę obejścia zabezpieczeń macOS Transparency, Consent, and Control (TCC). Zwykle wymagałyby wyraźnej zgody użytkownika, aby aplikacje miały dostęp do wrażliwych zasobów na komputerze Mac, takich jak dysk twardy i kontakty lub możliwość nagrywania ekranu.

Aby osiągnąć swój cel, cyberprzestępcy zastąpili istniejącą bazę danych TCC własną, mając na celu stłumienie wszelkich alertów, które zwykle byłyby wyzwalane podczas uruchamiania złośliwego oprogramowania JokerSpy. Poprzednie ataki pokazały, że cyberprzestępcy mogą wykorzystywać luki w zabezpieczeniach TCC, aby skutecznie je ominąć.

W tym konkretnym przypadku wykonywalny składnik xcc JokerSpy odgrywa kluczową rolę w exploicie. Wykonuje kontrolę uprawnień TCC, określając aktualnie aktywną aplikację, z którą użytkownik wchodzi w interakcję. Następnie pobiera i instaluje sh.py, główny silnik odpowiedzialny za uruchamianie złośliwego oprogramowania JokerSpy.

Korzystając z tej metody, cyberprzestępcom udaje się wykorzystać lukę dnia zerowego w systemie macOS, dając im możliwość przechwytywania zrzutów ekranu zaatakowanych urządzeń Mac.

Wiele groźnych możliwości znalezionych w backdoorze JokerSpy

Gdy system zostanie przejęty i zainfekowany przez JokerSpy, osoba atakująca uzyskuje nad nim znaczącą kontrolę. Możliwości wykazywane przez to złośliwe oprogramowanie obejmują szeroki zakres funkcji i działań, które można wykonać zgodnie z określonymi celami atakujących.

Funkcje te obejmują możliwość zatrzymania wykonywania backdoora JokerSpy obecnego na zaatakowanym urządzeniu. Ponadto złośliwe oprogramowanie umożliwia atakującemu wyświetlanie listy plików znajdujących się w określonej ścieżce, wykonywanie poleceń powłoki i pobieranie ich danych wyjściowych, nawigację i zmianę katalogów oraz wykonywanie kodu Pythona w bieżącym kontekście.

JokerSpy posiada również możliwość dekodowania kodu Pythona zakodowanego w Base64 podanego jako parametr, skompilowania go, a następnie wykonania w zainfekowanym systemie. Co więcej, złośliwe oprogramowanie umożliwia atakującemu usuwanie plików lub katalogów z zaatakowanego systemu, uruchamianie plików z parametrami lub bez, przesyłanie plików do zainfekowanego systemu oraz pobieranie plików z zainfekowanego systemu.

Atakujący mogą również poinstruować JokerSpy, aby pobrał aktualną konfigurację szkodliwego oprogramowania przechowywaną w pliku konfiguracyjnym. Atakujący może uzyskać dostęp do tej konfiguracji i manipulować nią, aby dopasować ją do swoich celów, ponieważ może zastąpić istniejący plik konfiguracyjny nowymi wartościami, które są zgodne z ich złośliwymi intencjami.

Prezentując te różne funkcje i działania, JokerSpy zapewnia atakującemu kompleksowy zestaw narzędzi do sprawowania kontroli i przeprowadzania złośliwych działań w zaatakowanym systemie. Możliwości te podkreślają dotkliwość i potencjalny wpływ infekcji złośliwym oprogramowaniem, podkreślając krytyczne znaczenie wdrożenia solidnych środków bezpieczeństwa w celu zapobiegania takim zagrożeniom i łagodzenia ich.