Криптовалютная биржа стала жертвой беспрецедентной и разрушительной атаки вредоносного ПО для Mac
В ходе недавнего открытия исследователи обнаружили новый вид вредоносного ПО для Mac, нацеленного на биржу криптовалюты и создающего серьезную угрозу безопасности средств пользователей. Это сложное вредоносное ПО под названием JokerSpy демонстрирует широкий спектр возможностей, включая кражу данных, загрузку и выполнение файлов с угрозами, а также потенциальную кросс-платформенную функциональность. Написанный на Python, JokerSpy использует SwiftBelt, инструмент с открытым исходным кодом, изначально предназначенный для законного тестирования безопасности. Первоначальное раскрытие JokerSpy стало известно из отчета о безопасности, раскрывающего его существование и вызывающего опасения по поводу его потенциальной доступности на платформах Windows и Linux. Это событие подчеркивает текущие проблемы бирж криптовалют и постоянную потребность в надежных мерах безопасности для защиты от возникающих угроз.
Оглавление
Анатомия угрозы
Вредоносное ПО JokerSpy появилось после того, как определенный инструмент защиты конечных точек обнаружил подозрительный двоичный файл с именем xcc. Жертвой вредоносного ПО стала известная биржа криптовалют в Японии. Как только файл xcc появился, хакеры, стоящие за JokerSpy, попытались обойти средства защиты macOS, известные как TCC, которые требуют явного разрешения пользователя для доступа приложений к конфиденциальным данным и ресурсам. Злоумышленники заменили существующую базу данных TCC своей собственной, что, вероятно, предотвратило появление предупреждений, когда JokerSpy был активен. В предыдущих атаках хакеры использовали уязвимости в защите TCC, чтобы обойти их, и исследователи продемонстрировали аналогичные атаки.
Основной движок вредоносной программы JokerSpy имеет несколько функций бэкдора, которые позволяют выполнять несанкционированные действия и обеспечивают контроль над скомпрометированной системой. Эти функции включают в себя остановку выполнения бэкдора (sk), перечисление файлов по указанному пути (l), выполнение команд оболочки и возврат вывода (c), изменение текущего каталога и предоставление нового пути (cd), выполнение кода Python внутри текущий контекст с использованием предоставленного параметра (xs), декодирование и выполнение кода Python в кодировке Base64 (xsi), удаление файлов или каталогов из системы (r), выполнение файлов из системы с параметрами или без них (e), загрузка файлов в зараженная система (u), загрузка файлов из зараженной системы (d), получение текущей конфигурации вредоносного ПО из файла конфигурации (g) и замена файла конфигурации вредоносного ПО новыми значениями (w).
Эти команды позволяют вредоносной программе JokerSpy выполнять различные несанкционированные действия и осуществлять контроль над скомпрометированной системой.
Как сообщалось, после того, как система скомпрометирована и заражена вредоносным ПО, таким как JokerSpy, злоумышленник получает значительный контроль над системой. Однако с помощью бэкдора злоумышленники могут даже незаметно установить дополнительные компоненты и, возможно, выполнить дальнейшие эксплойты, наблюдать за действиями пользователей, собирать учетные данные для входа или криптовалютные кошельки и выполнять другие вредоносные действия.
Вектор инфекции в настоящее время неизвестен
Исследователи до сих пор не уверены в точном методе установки JokerSpy. Некоторые твердо убеждены, что первоначальная точка доступа для этой вредоносной программы включала небезопасный или скомпрометированный подключаемый модуль или стороннюю зависимость, которая предоставила злоумышленнику несанкционированный доступ. Эта теория согласуется с наблюдениями, сделанными исследователями Bitdefender, которые обнаружили жестко закодированный домен в версии бэкдора sh.py, ссылающийся на твиты, в которых обсуждается зараженный считыватель QR-кода macOS с небезопасной зависимостью. Также было отмечено, что у наблюдаемого злоумышленника уже был доступ к японской бирже криптовалют.
Чтобы определить потенциальный таргетинг со стороны JokerSpy, люди могут искать определенные индикаторы. К ним относятся криптографические хэши различных образцов xcc и sh.py и контакты с доменами, такими как git-hub[.]me и app.influmarket[.]org. Хотя изначально JokerSpy оставался незамеченным большинством поисковых систем, теперь его может обнаруживать более широкий спектр поисковых систем. Хотя нет подтверждения существования версий JokerSpy для Windows или Linux, важно знать, что такая возможность существует.
Криптовалютная биржа стала жертвой беспрецедентной и разрушительной атаки вредоносного ПО для Mac Скриншотов
