JokerSpy Backdoor

Raziskovalci kibernetske varnosti so odkrili prej neznano zlonamerno programsko opremo Mac, ki je uspešno okužila menjalnico kriptovalut. Ta posebna zlonamerna programska oprema, imenovana JokerSpy, izstopa zaradi svoje široke palete zmogljivosti, ki predstavlja izrazito grožnjo varnosti in zasebnosti prizadetih sistemov.

JokerSpy je izdelan z uporabo programskega jezika Python. Izkazuje široko paleto zlonamernih funkcij, njegova celovita zbirka orodij pa mu omogoča ne le krajo zasebnih podatkov, temveč tudi prenos in izvajanje dodatnih zlonamernih datotek. Posledično so lahko žrtve izpostavljene še večji potencialni škodi.

Zanimivo je, da JokerSpy uporablja odprtokodno orodje SwiftBelt, ki je bilo prvotno ustvarjeno za zakonite varnostne strokovnjake za ocenjevanje ranljivosti omrežja. Ta uporaba zakonitih orodij za zlobne namene dokazuje prilagodljivost in prefinjenost zlonamerne programske opreme.

Čeprav se to odkritje osredotoča na zlonamerno programsko opremo Mac, je treba omeniti, da so raziskovalci odkrili tudi elemente, ki kažejo na obstoj različic JokerSpy za platformi Windows in Linux. To nakazuje, da so ustvarjalci JokerSpy razvili različice, namenjene tem priljubljenim operacijskim sistemom, s čimer so razširili njihov doseg in potencialni vpliv na več platformah.

JokerSpy zaobide varnostne zaščite MacOS

Opazili so, da neznani akter grožnje, ki stoji za JokerSpy, uporablja tehniko za izogibanje zaščiti Transparency, Consent in Control (TCC) macOS. Običajno bi zahtevali izrecno uporabniško dovoljenje za aplikacije za dostop do občutljivih virov v računalniku Mac, kot so trdi disk in stiki ali možnost snemanja zaslona.

Da bi dosegli svoj cilj, so akterji groženj zamenjali obstoječo zbirko podatkov TCC s svojo lastno, da bi preprečili vsa opozorila, ki bi se običajno sprožila, ko se zažene zlonamerna programska oprema JokerSpy. Prejšnji napadi so pokazali, da lahko akterji groženj izkoristijo ranljivosti v zaščitah TCC, da jih uspešno zaobidejo.

V tem posebnem primeru igra xcc izvršljiva komponenta JokerSpy ključno vlogo pri izkoriščanju. Izvaja preverjanje dovoljenj TCC in določa trenutno aktivno aplikacijo, s katero je uporabnik komuniciral. Nato nadaljuje s prenosom in namestitvijo sh.py, primarnega mehanizma, odgovornega za izvajanje zlonamerne programske opreme JokerSpy.

Z uporabo te metode akterji groženj uspejo izkoristiti ranljivost ničelnega dne v sistemu macOS in jim omogočijo zajemanje posnetkov zaslona ogroženih naprav Mac.

Večkratne nevarne zmožnosti, ki jih najdemo v Backdoorju JokerSpy

Ko je sistem ogrožen in okužen z JokerSpy, napadalec pridobi pomemben nadzor nad njim. Zmogljivosti, ki jih izkazuje ta grožnja zlonamerne programske opreme, zajemajo širok nabor funkcij in dejanj, ki jih je mogoče izvesti v skladu s posebnimi cilji napadalcev.

Te funkcije vključujejo zmožnost zaustavitve izvajanja stranskih vrat JokerSpy, ki so prisotna v vdreti napravi. Poleg tega zlonamerna programska oprema napadalcu omogoča seznam datotek, ki se nahajajo na določeni poti, izvajanje ukazov lupine in pridobivanje njihovih rezultatov, krmarjenje in spreminjanje imenikov ter izvajanje kode Python v trenutnem kontekstu.

JokerSpy ima tudi zmožnost dekodiranja kode Python, kodirane z Base64, ki je navedena kot parameter, jo prevede in nato izvede v okuženem sistemu. Poleg tega zlonamerna programska oprema napadalcu omogoča brisanje datotek ali imenikov iz ogroženega sistema, izvajanje datotek s parametri ali brez njih, nalaganje datotek v okuženi sistem in nalaganje datotek iz okuženega sistema.

Napadalci lahko JokerSpyju tudi naročijo, naj pridobi trenutno konfiguracijo zlonamerne programske opreme, shranjene v konfiguracijski datoteki. Napadalec lahko dostopa do te konfiguracije in jo manipulira tako, da ustreza svojim ciljem, saj lahko preglasi obstoječo konfiguracijsko datoteko z novimi vrednostmi, ki so v skladu z njihovimi zlonamernimi nameni.

Z prikazovanjem teh različnih funkcij in dejanj JokerSpy napadalcu nudi obsežen nabor orodij za izvajanje nadzora in izvajanje zlonamernih dejavnosti znotraj ogroženega sistema. Te zmogljivosti poudarjajo resnost in potencialni vpliv okužb z zlonamerno programsko opremo ter poudarjajo ključno pomembnost izvajanja robustnih varnostnih ukrepov za preprečevanje in ublažitev takšnih groženj.