JokerSpy Backdoor
Cercetătorii în domeniul securității cibernetice au descoperit un malware Mac necunoscut anterior, care a infectat cu succes un schimb de criptomonede. Acest malware special, numit JokerSpy, iese în evidență datorită gamei sale extinse de capabilități, reprezentând o amenințare expresivă la adresa securității și confidențialității sistemelor afectate.
JokerSpy este creat folosind limbajul de programare Python. Prezintă o gamă largă de funcționalități rău intenționate, iar suita sa cuprinzătoare de instrumente îi permite nu numai să fure date private, ci și să descarce și să execute fișiere rău intenționate suplimentare. În consecință, victimele ar putea fi supuse unor daune potențiale și mai mari.
Interesant, JokerSpy folosește un instrument open-source numit SwiftBelt, creat inițial pentru profesioniștii legitimi în securitate pentru a evalua vulnerabilitățile rețelei. Această adoptare a instrumentelor legitime în scopuri nefaste demonstrează adaptabilitatea și sofisticarea malware-ului.
În timp ce accentul acestei descoperiri se învârte în jurul malware-ului Mac, este de remarcat faptul că cercetătorii au detectat și elemente care indică existența variantelor JokerSpy pentru platformele Windows și Linux. Acest lucru sugerează că creatorii JokerSpy au dezvoltat versiuni care vizează aceste sisteme de operare populare, extinzând astfel acoperirea și impactul potențial pe mai multe platforme.
JokerSpy ocolește protecția de securitate MacOS
S-a observat că actorul de amenințare neidentificat din spatele JokerSpy folosește o tehnică pentru a ocoli protecția macOS Transparency, Consent, and Control (TCC). În mod obișnuit, ar necesita permisiunea explicită a utilizatorului pentru ca aplicațiile să acceseze resurse sensibile pe un Mac, cum ar fi hard disk-ul și contactele sau capacitatea de a înregistra ecranul.
Pentru a-și atinge obiectivul, actorii amenințărilor au înlocuit baza de date TCC existentă cu propria lor, cu scopul de a suprima orice alerte care ar fi declanșate în mod obișnuit atunci când malware-ul JokerSpy este executat. Atacurile anterioare au demonstrat că actorii amenințărilor pot exploata vulnerabilitățile din protecția TCC pentru a le ocoli cu succes.
În acest caz particular, componenta executabilă xcc a JokerSpy joacă un rol crucial în exploit. Efectuează o verificare a permisiunilor TCC, determinând aplicația activă în prezent cu care interacționa utilizatorul. Ulterior, se descarcă și instalează sh.py, motorul principal responsabil pentru rularea malware-ului JokerSpy.
Prin utilizarea acestei metode, actorii amenințărilor reușesc să profite de o vulnerabilitate zero-day în macOS, oferindu-le posibilitatea de a captura capturi de ecran ale dispozitivelor Mac compromise.
Capacitățile multiple de amenințare găsite în Backdoor JokerSpy
Odată ce un sistem este compromis și infectat cu JokerSpy, atacatorul obține un control semnificativ asupra acestuia. Capacitățile prezentate de această amenințare malware cuprind o gamă largă de funcții și acțiuni care pot fi executate în conformitate cu obiectivele specifice ale atacatorilor.
Aceste funcții includ capacitatea de a opri execuția ușii din spate JokerSpy prezentă în dispozitivul încălcat. În plus, malware-ul permite atacatorului să enumere fișierele aflate într-o cale specificată, să execute comenzi shell și să recupereze rezultatul acestora, să navigheze și să schimbe directoare și să execute cod Python în contextul curent.
JokerSpy are, de asemenea, capacitatea de a decoda codul Python codificat în Base64 furnizat ca parametru, de a-l compila și, ulterior, de a-l executa în sistemul infectat. Mai mult, malware-ul permite atacatorului să șteargă fișiere sau directoare din sistemul compromis, să execute fișiere cu sau fără parametri, să încarce fișiere în sistemul infectat și să descarce fișiere din sistemul infectat.
De asemenea, atacatorii pot instrui JokerSpy să recupereze configurația curentă a malware-ului stocat în fișierul de configurare. Această configurație poate fi accesată și manipulată de către atacator pentru a se potrivi cu obiectivele lor, deoarece acestea pot suprascrie fișierul de configurare existent cu noi valori care se aliniază cu intențiile lor rău intenționate.
Prin prezentarea acestor diferite funcții și acțiuni, JokerSpy oferă atacatorului un set cuprinzător de instrumente pentru a exercita controlul și a desfășura activități rău intenționate în cadrul sistemului compromis. Aceste capabilități subliniază gravitatea și impactul potențial al infecțiilor malware, subliniind importanța critică a implementării unor măsuri de securitate robuste pentru a preveni și a atenua astfel de amenințări.
