Burza kryptomien sa stala obeťou bezprecedentného a ničivého útoku škodlivého softvéru na Mac
Pri nedávnom objave výskumníci odhalili nový kmeň malvéru Mac, ktorý sa zameral na burzu kryptomien, čo predstavuje významnú hrozbu pre bezpečnosť finančných prostriedkov používateľov. Tento sofistikovaný malvér s názvom JokerSpy vykazuje širokú škálu možností vrátane krádeže údajov, sťahovania a spúšťania hrozivých súborov a potenciálnych funkcií naprieč platformami. JokerSpy, napísaný v Pythone, využíva SwiftBelt, open-source nástroj pôvodne určený na legitímne testovanie bezpečnosti. Počiatočné odhalenie JokerSpy vyšlo najavo prostredníctvom bezpečnostnej správy, ktorá odhalila jeho existenciu a vyvolala obavy z jeho potenciálnej dostupnosti na platformách Windows a Linux. Tento vývoj poukazuje na pretrvávajúce výzvy kryptoburz a neustálu potrebu silných bezpečnostných opatrení na ochranu pred vznikajúcimi hrozbami.
Obsah
Anatómia hrozby
Malvér JokerSpy sa objavil po tom, čo konkrétny nástroj na ochranu koncových bodov zistil podozrivý binárny súbor s názvom xcc. Obeťou, na ktorú sa malvér zameral, bola známa burza kryptomien v Japonsku. Keď sa objavil súbor xcc, hackeri stojaci za JokerSpy sa pokúsili obísť bezpečnostnú ochranu MacOS, známu ako TCC, ktorá vyžaduje explicitné povolenie používateľa pre aplikácie na prístup k citlivým údajom a zdrojom. Aktéri hrozieb nahradili existujúcu databázu TCC svojou vlastnou, pravdepodobne zabránili zobrazovaniu výstrah, keď bol JokerSpy aktívny. V predchádzajúcich útokoch hackeri využívali zraniteľné miesta v ochrane TCC, aby ich obišli, a výskumníci preukázali podobné útoky.
Hlavný motor malvéru JokerSpy má viacero funkcií typu backdoor, ktoré umožňujú neoprávnené akcie a poskytujú kontrolu nad napadnutým systémom. Tieto funkcie zahŕňajú zastavenie vykonávania zadných dvierok (sk), vypisovanie súborov v zadanej ceste (l), vykonávanie príkazov shellu a vrátenie výstupu (c), zmenu aktuálneho adresára a poskytnutie novej cesty (cd), spustenie kódu Python v rámci aktuálny kontext pomocou poskytnutého parametra (xs), dekódovanie a spúšťanie kódu Python kódovaného Base64 (xsi), odstraňovanie súborov alebo adresárov zo systému (r), spúšťanie súborov zo systému s parametrami alebo bez parametrov (e), nahrávanie súborov do infikovaný systém (u), sťahovanie súborov z infikovaného systému (d), získanie aktuálnej konfigurácie malvéru z konfiguračného súboru (g) a prepísanie konfiguračného súboru malvéru novými hodnotami (w).
Tieto príkazy umožňujú škodlivému softvéru JokerSpy vykonávať rôzne neoprávnené akcie a kontrolovať napadnutý systém.
Ako bolo uvedené, akonáhle je systém napadnutý a infikovaný škodlivým softvérom, ako je JokerSpy, útočník získa značnú kontrolu nad systémom. Pomocou zadných vrátok však môžu útočníci dokonca diskrétne inštalovať ďalšie komponenty a potenciálne vykonávať ďalšie exploity, sledovať akcie používateľov, zbierať prihlasovacie údaje alebo kryptomenové peňaženky a vykonávať ďalšie škodlivé aktivity.
Vektor infekcie momentálne neznámy
Výskumníci si stále nie sú istí presnou metódou inštalácie JokerSpy. Niektorí sú pevne presvedčení, že počiatočný prístupový bod pre tento malvér zahŕňal nebezpečný alebo kompromitovaný doplnok alebo závislosť od tretej strany, ktorá poskytla aktérovi hrozby neoprávnený prístup. Táto teória je v súlade s pozorovaniami výskumníkov Bitdefenderu, ktorí našli pevne zakódovanú doménu vo verzii backdoor sh.py odkazujúcej na tweety, v ktorých sa diskutuje o infikovanej čítačke QR kódov macOS s nebezpečnou závislosťou. Poznamenalo sa tiež, že sledovaný aktér hrozby už mal predtým existujúci prístup k japonskej kryptomenovej burze.
Na identifikáciu potenciálneho zacielenia JokerSpy môžu jednotlivci hľadať konkrétne ukazovatele. Patria sem kryptografické hash rôznych vzoriek xcc a sh.py a kontakt s doménami, ako sú git-hub[.]me a app.influmarket[.]org. Zatiaľ čo JokerSpy spočiatku väčšina bezpečnostných motorov nepostrehla, teraz ho dokáže odhaliť širšia škála motorov. Aj keď neexistuje žiadne potvrdenie o existencii verzie JokerSpy pre Windows alebo Linux, je dôležité si uvedomiť, že táto možnosť existuje.
Burza kryptomien sa stala obeťou bezprecedentného a ničivého útoku škodlivého softvéru na Mac snímok obrazovky
