Menjalnica kriptovalut postala žrtev brez primere in uničujočega napada zlonamerne programske opreme Mac
V nedavnem odkritju so raziskovalci odkrili novo vrsto zlonamerne programske opreme za Mac, ki je ciljala na menjalnico kriptovalut in predstavlja veliko grožnjo varnosti sredstev uporabnikov. Ta sofisticirana zlonamerna programska oprema, imenovana JokerSpy, ima širok spekter zmožnosti, vključno s krajo podatkov, nalaganjem in izvajanjem grozečih datotek ter potencialno funkcionalnostjo na več platformah. JokerSpy, napisan v Pythonu, uporablja SwiftBelt, odprtokodno orodje, ki je bilo prvotno namenjeno legitimnemu testiranju varnosti. Začetna izpostavljenost JokerSpy je prišla na dan v varnostnem poročilu, ki je razkrilo njegov obstoj in sprožilo zaskrbljenost glede njegove morebitne razpoložljivosti na platformah Windows in Linux. Ta razvoj poudarja nenehne izzive borz kriptovalut in stalno potrebo po robustnih varnostnih ukrepih za zaščito pred nastajajočimi grožnjami.
Kazalo
Anatomija grožnje
Zlonamerna programska oprema JokerSpy se je pojavila po tem, ko je določeno orodje za zaščito končne točke odkrilo sumljivo binarno datoteko xcc. Žrtev zlonamerne programske opreme je bila dobro znana borza kriptovalut na Japonskem. Ko se je pojavila datoteka xcc, so hekerji za JokerSpy poskušali zaobiti varnostno zaščito macOS, znano kot TCC, ki zahteva izrecno dovoljenje uporabnika za dostop aplikacij do občutljivih podatkov in virov. Akterji groženj so zamenjali obstoječo bazo podatkov TCC s svojo lastno, da bi verjetno preprečili prikazovanje opozoril, ko je bil JokerSpy aktiven. V prejšnjih napadih so hekerji izkoristili ranljivosti v zaščitah TCC, da bi jih obšli, raziskovalci pa so pokazali podobne napade.
Glavni motor zlonamerne programske opreme JokerSpy ima več funkcionalnosti zakulisnih vrat, ki omogočajo nepooblaščena dejanja in zagotavljajo nadzor nad ogroženim sistemom. Te funkcije vključujejo zaustavitev izvajanja stranskih vrat (sk), seznam datotek na določeni poti (l), izvajanje ukazov lupine in vračanje izhodnih podatkov (c), spreminjanje trenutnega imenika in zagotavljanje nove poti (cd), izvajanje kode Python znotraj trenutni kontekst z uporabo podanega parametra (xs), dekodiranje in izvajanje kode Python, kodirane z Base64 (xsi), odstranjevanje datotek ali imenikov iz sistema (r), izvajanje datotek iz sistema s parametri ali brez (e), nalaganje datotek v okuženega sistema (u), prenos datotek iz okuženega sistema (d), pridobivanje trenutne konfiguracije zlonamerne programske opreme iz konfiguracijske datoteke (g) in preglasitev konfiguracijske datoteke zlonamerne programske opreme z novimi vrednostmi (w).
Ti ukazi omogočajo zlonamerni programski opremi JokerSpy, da izvaja različna nepooblaščena dejanja in izvaja nadzor nad ogroženim sistemom.
Kot poročajo, ko je sistem ogrožen in okužen z zlonamerno programsko opremo, kot je JokerSpy, napadalec pridobi pomemben nadzor nad sistemom. Z zakulisnimi vrati pa lahko napadalci celo diskretno namestijo dodatne komponente in potencialno izvajajo nadaljnje podvige, opazujejo dejanja uporabnikov, zbirajo poverilnice za prijavo ali denarnice za kriptovalute in izvajajo druge škodljive dejavnosti.
Vektor okužbe trenutno neznan
Raziskovalci še vedno niso prepričani o natančni metodi namestitve JokerSpy. Nekateri so trdno prepričani, da je začetna dostopna točka za to zlonamerno programsko opremo vključevala nevaren ali ogrožen vtičnik ali odvisnost tretje osebe, ki je akterju grožnje omogočila nepooblaščen dostop. Ta teorija se ujema z opažanji raziskovalcev Bitdefenderja, ki so našli trdo kodirano domeno v različici zakulisnih vrat sh.py, ki povezuje s tviti, ki razpravljajo o okuženem bralniku QR kode macOS z nevarno odvisnostjo. Ugotovljeno je bilo tudi, da je opazovani akter grožnje že imel predhodno dostop do japonske borze kriptovalut.
Za prepoznavanje potencialnega ciljanja s strani JokerSpy lahko posamezniki poiščejo posebne indikatorje. Ti vključujejo kriptografske zgoščene vrednosti različnih vzorcev xcc in sh.py ter stik z domenami, kot sta git-hub[.]me in app.influmarket[.]org. Medtem ko večina varnostnih mehanizmov JokerSpy sprva ni opazila, ga lahko zdaj zazna širši nabor mehanizmov. Čeprav ni nobene potrditve o obstoju različic JokerSpy za Windows ali Linux, je nujno, da se zavedate, da ta možnost obstaja.
Menjalnica kriptovalut postala žrtev brez primere in uničujočega napada zlonamerne programske opreme Mac posnetkov zaslona
