JokerSpy Backdoor

Výskumníci v oblasti kybernetickej bezpečnosti odhalili predtým neznámy malvér Mac, ktorý úspešne infikoval burzu kryptomien. Tento konkrétny malvér s názvom JokerSpy vyniká svojou širokou škálou schopností a predstavuje výraznú hrozbu pre bezpečnosť a súkromie postihnutých systémov.

JokerSpy je vytvorený pomocou programovacieho jazyka Python. Vykazuje širokú škálu škodlivých funkcií a jeho komplexná sada nástrojov mu umožňuje nielen kradnúť súkromné údaje, ale aj sťahovať a spúšťať ďalšie škodlivé súbory. V dôsledku toho by obete mohli byť vystavené ešte väčším potenciálnym škodám.

Zaujímavé je, že JokerSpy využíva open-source nástroj s názvom SwiftBelt, ktorý bol pôvodne vytvorený pre legitímnych bezpečnostných profesionálov na posúdenie zraniteľností siete. Toto prijatie legitímnych nástrojov na nekalé účely demonštruje prispôsobivosť a sofistikovanosť malvéru.

Zatiaľ čo ťažisko tohto objavu sa točí okolo malvéru Mac, stojí za zmienku, že výskumníci odhalili aj prvky naznačujúce existenciu variantov JokerSpy pre platformy Windows a Linux. To naznačuje, že tvorcovia JokerSpy vyvinuli verzie zamerané na tieto populárne operačné systémy, čím rozšírili ich dosah a potenciálny vplyv na viaceré platformy.

JokerSpy obchádza bezpečnostnú ochranu MacOS

Neidentifikovaný aktér hrozieb za JokerSpy bol pozorovaný pri využívaní techniky na obchádzanie ochrany transparentnosti, súhlasu a kontroly (TCC) systému macOS. Zvyčajne by vyžadovali výslovné povolenie používateľa pre aplikácie na prístup k citlivým zdrojom na Macu, ako je pevný disk a kontakty alebo možnosť zaznamenávať obrazovku.

Na dosiahnutie svojho cieľa aktéri hrozieb nahradili existujúcu databázu TCC svojou vlastnou, s cieľom potlačiť všetky výstrahy, ktoré by sa zvyčajne spustili pri spustení malvéru JokerSpy. Predchádzajúce útoky ukázali, že aktéri hrozieb môžu využiť zraniteľné miesta v rámci ochrany TCC, aby ich úspešne obišli.

V tomto konkrétnom prípade hrá kľúčovú úlohu pri exploite spustiteľný komponent xcc JokerSpy. Vykoná kontrolu povolení TCC a určí aktuálne aktívnu aplikáciu, s ktorou používateľ interagoval. Následne pristúpi k stiahnutiu a inštalácii sh.py, primárneho enginu zodpovedného za spustenie malvéru JokerSpy.

Využitím tejto metódy sa aktérom hrozieb podarí využiť zraniteľnosť nultého dňa v systéme macOS, ktorá im poskytuje možnosť zachytiť snímky obrazovky napadnutých zariadení Mac.

Viacnásobné hroziace schopnosti nájdené v JokerSpy Backdoor

Akonáhle je systém napadnutý a infikovaný JokerSpy, útočník nad ním získa významnú kontrolu. Schopnosti tejto malvérovej hrozby zahŕňajú širokú škálu funkcií a akcií, ktoré možno vykonať v súlade so špecifickými cieľmi útočníkov.

Tieto funkcie zahŕňajú schopnosť zastaviť vykonávanie zadného vrátka JokerSpy prítomného v narušenom zariadení. Malvér navyše umožňuje útočníkovi vypisovať súbory nachádzajúce sa v zadanej ceste, vykonávať príkazy shellu a získavať ich výstup, prechádzať a meniť adresáre a spúšťať kód Python v aktuálnom kontexte.

JokerSpy má tiež schopnosť dekódovať kód Python kódovaný Base64 poskytnutý ako parameter, skompilovať ho a následne spustiť v infikovanom systéme. Malvér navyše umožňuje útočníkovi odstraňovať súbory alebo adresáre z napadnutého systému, spúšťať súbory s parametrami alebo bez nich, nahrávať súbory do infikovaného systému a sťahovať súbory z infikovaného systému.

Útočníci môžu tiež prikázať JokerSpy, aby načítal aktuálnu konfiguráciu škodlivého softvéru uloženého v konfiguračnom súbore. Útočník môže k tejto konfigurácii pristupovať a manipulovať s ňou tak, aby vyhovovala jeho cieľom, pretože môže prepísať existujúci konfiguračný súbor novými hodnotami, ktoré sú v súlade s ich nekalými úmyslami.

Vystavením týchto rôznych funkcií a akcií poskytuje JokerSpy útočníkovi komplexnú sadu nástrojov na kontrolu a vykonávanie škodlivých aktivít v napadnutom systéme. Tieto schopnosti podčiarkujú závažnosť a potenciálny vplyv malvérových infekcií a zdôrazňujú zásadný význam implementácie robustných bezpečnostných opatrení na prevenciu a zmiernenie takýchto hrozieb.