JokerSpy Backdoor

Исследователи кибербезопасности обнаружили ранее неизвестное вредоносное ПО для Mac, которое успешно заразило биржу криптовалют. Это конкретное вредоносное ПО, получившее название JokerSpy, отличается широким спектром возможностей, представляющим явную угрозу безопасности и конфиденциальности затронутых систем.

JokerSpy создан с использованием языка программирования Python. Он обладает широким спектром вредоносных функций, а его полный набор инструментов позволяет ему не только красть личные данные, но также загружать и запускать дополнительные вредоносные файлы. В результате жертвы могут быть подвергнуты еще большему потенциальному ущербу.

Интересно, что JokerSpy использует инструмент с открытым исходным кодом под названием SwiftBelt, изначально созданный для законных специалистов по безопасности для оценки сетевых уязвимостей. Использование законных инструментов для гнусных целей демонстрирует адаптивность и изощренность вредоносного ПО.

Хотя основное внимание в этом открытии уделяется вредоносным программам для Mac, стоит отметить, что исследователи также обнаружили элементы, указывающие на существование вариантов JokerSpy для платформ Windows и Linux. Это говорит о том, что создатели JokerSpy разработали версии, ориентированные на эти популярные операционные системы, тем самым расширив их охват и потенциальное влияние на несколько платформ.

JokerSpy обходит средства защиты MacOS

Было замечено, что неизвестный злоумышленник, стоящий за JokerSpy, использует технику для обхода защиты MacOS Transparency, Consent and Control (TCC). Обычно им требуется явное разрешение пользователя для доступа приложений к конфиденциальным ресурсам на Mac, таким как жесткий диск и контакты, или возможность записи экрана.

Для достижения своей цели злоумышленники заменили существующую базу данных TCC своей собственной, стремясь подавить любые оповещения, которые обычно инициируются при запуске вредоносного ПО JokerSpy. Предыдущие атаки показали, что злоумышленники могут использовать уязвимости в средствах защиты TCC, чтобы успешно их обойти.

В данном конкретном случае исполняемый компонент xcc JokerSpy играет решающую роль в эксплойте. Он выполняет проверку разрешений TCC, определяя активное в данный момент приложение, с которым взаимодействовал пользователь. Затем он загружает и устанавливает sh.py, основной механизм, отвечающий за запуск вредоносного ПО JokerSpy.

Используя этот метод, злоумышленникам удается воспользоваться уязвимостью нулевого дня в macOS, что дает им возможность делать скриншоты скомпрометированных устройств Mac.

Множественные угрожающие возможности, обнаруженные в бэкдоре JokerSpy

Как только система скомпрометирована и заражена JokerSpy, злоумышленник получает над ней значительный контроль. Возможности этой вредоносной программы охватывают широкий спектр функций и действий, которые могут быть выполнены в соответствии с конкретными целями злоумышленников.

Эти функции включают в себя возможность остановить выполнение бэкдора JokerSpy, присутствующего на взломанном устройстве. Кроме того, вредоносное ПО позволяет злоумышленнику просматривать список файлов, расположенных по указанному пути, выполнять команды оболочки и получать их выходные данные, перемещаться по каталогам и изменять их, а также выполнять код Python в текущем контексте.

JokerSpy также обладает способностью декодировать код Python в кодировке Base64, предоставленный в качестве параметра, компилировать его и впоследствии выполнять в зараженной системе. Кроме того, вредоносное ПО позволяет злоумышленнику удалять файлы или каталоги из скомпрометированной системы, запускать файлы с параметрами или без них, загружать файлы в зараженную систему и загружать файлы из зараженной системы.

Злоумышленники также могут поручить JokerSpy получить текущую конфигурацию вредоносного ПО, хранящуюся в файле конфигурации. Злоумышленник может получить доступ к этой конфигурации и манипулировать ею в соответствии со своими целями, поскольку он может заменить существующий файл конфигурации новыми значениями, которые соответствуют их злонамеренным намерениям.

Демонстрируя эти различные функции и действия, JokerSpy предоставляет злоумышленнику полный набор инструментов для осуществления контроля и выполнения злонамеренных действий в скомпрометированной системе. Эти возможности подчеркивают серьезность и потенциальные последствия заражения вредоносными программами, подчеркивая критическую важность реализации надежных мер безопасности для предотвращения и смягчения таких угроз.