O Intercâmbio de Moedas Digitais é Vítima de Ataque de Malware do Mac sem Precedentes e Devastador
Em uma descoberta recente, os pesquisadores descobriram uma nova variedade de malware para Mac que tem como alvo uma troca de criptomoedas, representando uma ameaça significativa à segurança dos fundos dos usuários. Esse malware sofisticado, chamado JokerSpy, exibe uma ampla gama de recursos, incluindo roubo de dados, download e execução de arquivos ameaçadores e potencial funcionalidade de plataforma cruzada. Escrito em Python, o JokerSpy aproveita o SwiftBelt, uma ferramenta de código aberto inicialmente destinada a testes de segurança legítimos. A exposição inicial do JokerSpy veio à tona por meio de um relatório de segurança, revelando sua existência e levantando preocupações sobre sua possível disponibilidade nas plataformas Windows e Linux. Esse desenvolvimento destaca os desafios contínuos das trocas de criptomoedas e a necessidade constante de medidas de segurança robustas para proteção contra ameaças emergentes.
Índice
Anatomia da Ameaça
O malware JokerSpy surgiu depois que uma ferramenta específica de proteção de endpoint detectou um arquivo binário suspeito chamado xcc. A vítima visada pelo malware era uma conhecida exchange de criptomoedas no Japão. Depois que o arquivo xcc surgiu, os hackers por trás do JokerSpy tentaram contornar as proteções de segurança do macOS, conhecidas como TCC, que exigem permissão explícita do usuário para que os aplicativos acessem dados e recursos confidenciais. Os agentes de ameaças substituíram o banco de dados TCC existente pelo seu próprio, provavelmente para impedir que alertas aparecessem quando o JokerSpy estava ativo. Em ataques anteriores, os hackers exploraram vulnerabilidades nas proteções do TCC para contorná-los, e os pesquisadores demonstraram ataques semelhantes.
O mecanismo principal do malware JokerSpy possui várias funcionalidades de backdoor que permitem ações não autorizadas e fornecem controle sobre o sistema comprometido. Essas funcionalidades incluem interromper a execução do backdoor (sk), listar arquivos em um caminho especificado (l), executar comandos shell e retornar a saída (c), alterar o diretório atual e fornecer o novo caminho (cd), executar código Python dentro o contexto atual usando um parâmetro fornecido (xs), decodificando e executando código Python codificado em Base64 (xsi), removendo arquivos ou diretórios do sistema (r), executando arquivos do sistema com ou sem parâmetros (e), carregando arquivos para o sistema infectado (u), baixando arquivos do sistema infectado (d), recuperando a configuração atual do malware do arquivo de configuração (g) e substituindo o arquivo de configuração do malware por novos valores (w).
Esses comandos permitem que o malware JokerSpy execute várias ações não autorizadas e exerça controle sobre o sistema comprometido.
Conforme relatado, uma vez que um sistema é comprometido e infectado por um malware como o JokerSpy, o invasor ganha um controle significativo sobre o sistema. Com um backdoor, no entanto, os invasores podem até instalar componentes adicionais discretamente e potencialmente executar outras explorações, observar as ações dos usuários, coletar credenciais de login ou carteiras de criptomoedas e realizar outras atividades prejudiciais.
Vetor de Infecção Atualmente Desconhecido
Os pesquisadores ainda estão incertos sobre o método preciso de instalação do JokerSpy. Alguns acreditam firmemente que o ponto de acesso inicial para esse malware envolveu um plug-in inseguro ou comprometido ou uma dependência de terceiros que forneceu ao agente da ameaça acesso não autorizado. Essa teoria se alinha com as observações feitas pelos pesquisadores da Bitdefender, que encontraram um domínio codificado em uma versão do backdoor sh.py com links para tweets discutindo um leitor de código macOS QR infectado com uma dependência insegura. Também foi observado que o agente de ameaça observado já tinha acesso pré-existente à exchange de criptomoedas japonesa.
Para identificar possíveis alvos do JokerSpy, os indivíduos podem procurar indicadores específicos. Isso inclui hashes criptográficos de diferentes amostras de xcc e sh.py e contato com domínios, como git-hub[.]me e app.influmarket[.]org. Enquanto o JokerSpy inicialmente passou despercebido pela maioria dos mecanismos de segurança, uma gama mais ampla de mecanismos agora pode detectá-lo. Embora não haja confirmação da existência de versões Windows ou Linux do JokerSpy, é essencial estar ciente de que essa possibilidade existe.
O Intercâmbio de Moedas Digitais é Vítima de Ataque de Malware do Mac sem Precedentes e Devastador capturas de tela
