JokerSpy Backdoor

Os pesquisadores de segurança cibernética descobriram um malware Mac anteriormente desconhecido que infectou com sucesso uma troca de criptomoedas. Esse malware em particular, chamado JokerSpy, se destaca por sua ampla gama de recursos, representando uma ameaça expressiva à segurança e privacidade dos sistemas afetados.

O JokerSpy é criado usando a linguagem de programação Python. Ele exibe uma ampla gama de funcionalidades maliciosas e seu conjunto abrangente de ferramentas permite não apenas furtar dados privados, mas também baixar e executar arquivos maliciosos adicionais. Como resultado, as vítimas podem estar sujeitas a danos potenciais ainda maiores.

Curiosamente, o JokerSpy utiliza uma ferramenta de código aberto chamada SwiftBelt, originalmente criada para profissionais de segurança legítimos avaliarem vulnerabilidades de rede. Essa adoção de ferramentas legítimas para fins nefastos demonstra a adaptabilidade e sofisticação do malware.

Embora o foco dessa descoberta gire em torno do malware para Mac, vale a pena notar que os pesquisadores também detectaram elementos que indicam a existência de variantes do JokerSpy para plataformas Windows e Linux. Isso sugere que os criadores do JokerSpy desenvolveram versões voltadas para esses sistemas operacionais populares, expandindo assim seu alcance e impacto potencial em várias plataformas.

O JokerSpy Ignora as Proteções de Segurança do MacOS

Observou-se que o agente de ameaça não identificado por trás do JokerSpy emprega uma técnica para contornar as proteções de Transparência, Consentimento e Controle (TCC) do macOS. Normalmente, eles exigiriam permissão explícita do usuário para que os aplicativos acessassem recursos confidenciais em um Mac, como disco rígido e contatos ou a capacidade de gravar a tela.

Para atingir seu objetivo, os agentes de ameaças substituíram o banco de dados TCC existente pelo seu próprio, com o objetivo de suprimir quaisquer alertas que normalmente seriam acionados quando o malware JokerSpy é executado. Ataques anteriores demonstraram que os agentes de ameaças podem explorar vulnerabilidades nas proteções do TCC para contorná-los com sucesso.

Neste caso particular, o componente executável xcc do JokerSpy desempenha um papel crucial na exploração. Ele realiza uma verificação das permissões do TCC, determinando a aplicação atualmente ativa com a qual o usuário estava interagindo. Posteriormente, ele baixa e instala o sh.py, o principal mecanismo responsável por executar o malware JokerSpy.

Ao utilizar esse método, os agentes de ameaças conseguem tirar proveito de uma vulnerabilidade de dia zero no macOS, concedendo-lhes a capacidade de capturar capturas de tela de dispositivos Mac comprometidos.

Os Múltiplos Recursos Ameaçadores Encontrados no JokerSpy Backdoor

Uma vez que um sistema é comprometido e infectado pelo JokerSpy, o invasor ganha um controle significativo sobre ele. Os recursos exibidos por essa ameaça de malware abrangem uma ampla gama de funções e ações que podem ser executadas de acordo com os objetivos específicos dos invasores.

Essas funções incluem a capacidade de interromper a execução do backdoor JokerSpy presente no dispositivo violado. Além disso, o malware permite que o invasor liste arquivos localizados em um caminho especificado, execute comandos de shell e recupere sua saída, navegue e altere diretórios e execute código Python no contexto atual.

O JokerSpy também possui a capacidade de decodificar o código Python codificado em Base64 fornecido como um parâmetro, compilá-lo e, posteriormente, executá-lo no sistema infectado. Além disso, o malware permite que o invasor exclua arquivos ou diretórios do sistema comprometido, execute arquivos com ou sem parâmetros, carregue arquivos no sistema infectado e baixe arquivos do sistema infectado.

Os invasores também podem instruir o JokerSpy a recuperar a configuração atual do malware armazenado no arquivo de configuração. Essa configuração pode ser acessada e manipulada pelo invasor de acordo com seus objetivos, pois eles podem substituir o arquivo de configuração existente por novos valores que se alinham com suas intenções maliciosas.

Ao exibir essas várias funções e ações, o JokerSpy fornece ao invasor um conjunto abrangente de ferramentas para exercer controle e realizar atividades maliciosas no sistema comprometido. Esses recursos destacam a gravidade e o impacto potencial das infecções por malware, enfatizando a importância crítica da implementação de medidas de segurança robustas para prevenir e mitigar essas ameaças.