Schimbul de criptomonede este victima unui atac fără precedent și devastator de programe malware pentru Mac
Într-o descoperire recentă, cercetătorii au descoperit o nouă tulpină de malware Mac care a vizat un schimb de criptomonede, reprezentând o amenințare semnificativă la adresa securității fondurilor utilizatorilor. Acest malware sofisticat, numit JokerSpy, prezintă o gamă largă de capabilități, inclusiv furtul de date, descărcarea și executarea fișierelor amenințătoare și funcționalitatea potențială multiplatformă. Scris în Python, JokerSpy folosește SwiftBelt, un instrument open-source destinat inițial testării de securitate legitime. Expunerea inițială a lui JokerSpy a ieșit la iveală printr-un raport de securitate, dezvăluind existența acestuia și stârnind îngrijorări cu privire la disponibilitatea sa potențială pe platformele Windows și Linux. Această dezvoltare evidențiază provocările continue ale schimburilor de criptomonede și nevoia constantă de măsuri de securitate robuste pentru a proteja împotriva amenințărilor emergente.
Cuprins
Anatomia amenințării
Malware-ul JokerSpy a apărut după ce un anumit instrument de protecție a terminalelor a detectat un fișier binar suspect numit xcc. Victima vizată de malware a fost un cunoscut schimb de criptomonede din Japonia. Odată ce fișierul xcc a apărut, hackerii din spatele JokerSpy au încercat să ocolească protecțiile de securitate ale macOS, cunoscute sub numele de TCC, care necesită permisiunea explicită a utilizatorului pentru ca aplicațiile să acceseze date și resurse sensibile. Actorii amenințărilor au înlocuit baza de date TCC existentă cu propria lor, probabil să împiedice apariția alertelor atunci când JokerSpy era activ. În atacurile anterioare, hackerii au exploatat vulnerabilitățile din protecția TCC pentru a le ocoli, iar cercetătorii au demonstrat atacuri similare.
Motorul principal al malware-ului JokerSpy are multiple funcționalități backdoor care permit acțiuni neautorizate și oferă control asupra sistemului compromis. Aceste funcționalități includ oprirea execuției backdoor (sk), listarea fișierelor într-o cale specificată (l), executarea comenzilor shell și returnarea ieșirii (c), schimbarea directorului curent și furnizarea noii căi (cd), executarea codului Python în cadrul contextul curent folosind un parametru furnizat (xs), decodarea și executarea codului Python codificat Base64 (xsi), eliminarea fișierelor sau directoarelor din sistem (r), executarea fișierelor din sistem cu sau fără parametri (e), încărcarea fișierelor în sistemul infectat (u), descărcarea fișierelor din sistemul infectat (d), preluarea configurației curente a malware-ului din fișierul de configurare (g) și suprascrierea fișierului de configurare a malware-ului cu noi valori (w).
Aceste comenzi permit malware-ului JokerSpy să efectueze diverse acțiuni neautorizate și să exercite control asupra sistemului compromis.
După cum sa raportat, odată ce un sistem este compromis și infectat cu un malware precum JokerSpy, atacatorul obține un control semnificativ asupra sistemului. Cu o ușă din spate, totuși, atacatorii pot chiar să instaleze componente suplimentare în mod discret și să execute potențiale exploatări suplimentare, să observe acțiunile utilizatorilor, să colecteze acreditări de conectare sau portofele criptomonede și să desfășoare alte activități dăunătoare.
Vector de infecție momentan necunoscut
Cercetătorii sunt încă nesiguri cu privire la metoda precisă de instalare a lui JokerSpy. Unii cred cu tărie că punctul de acces inițial pentru acest malware a implicat un plugin nesigur sau compromis sau o dependență terță parte care a oferit actorului amenințării acces neautorizat. Această teorie se aliniază cu observațiile făcute de cercetătorii Bitdefender, care au găsit un domeniu codificat într-o versiune a backdoor sh.py care se leagă la tweet-uri care discută despre un cititor de coduri QR macOS infectat cu o dependență nesigură. S-a remarcat, de asemenea, că actorul de amenințare observat avea deja acces preexistent la schimbul de criptomonede japonez.
Pentru a identifica potențiala direcționare de către JokerSpy, persoanele pot căuta indicatori specifici. Acestea includ hashuri criptografice ale diferitelor mostre de xcc și sh.py și contactul cu domenii, cum ar fi git-hub[.]me și app.influmarket[.]org. În timp ce JokerSpy a trecut inițial neobservat de majoritatea motoarelor de securitate, o gamă mai largă de motoare îl poate detecta acum. Deși nu există nicio confirmare a existenței versiunilor Windows sau Linux de JokerSpy, este esențial să fii conștient de faptul că această posibilitate există.
Schimbul de criptomonede este victima unui atac fără precedent și devastator de programe malware pentru Mac de capturi de ecran
