JokerSpy Backdoor

Studiuesit e sigurisë kibernetike kanë zbuluar një malware Mac të panjohur më parë që ka infektuar me sukses një shkëmbim kriptomonedhash. Ky malware i veçantë, i quajtur JokerSpy, dallohet për shkak të gamës së gjerë të aftësive, duke paraqitur një kërcënim shprehës për sigurinë dhe privatësinë e sistemeve të prekura.

JokerSpy është krijuar duke përdorur gjuhën e programimit Python. Ai shfaq një gamë të gjerë funksionesh me qëllim të keq, dhe grupi i tij gjithëpërfshirës i mjeteve i mundëson atij jo vetëm të vjedhë të dhëna private, por edhe të shkarkojë dhe ekzekutojë skedarë të tjerë me qëllim të keq. Si rezultat, viktimat mund t'i nënshtroheshin dëmeve potenciale edhe më të mëdha.

Interesante, JokerSpy përdor një mjet me burim të hapur të quajtur SwiftBelt, i krijuar fillimisht për profesionistët legjitimë të sigurisë për të vlerësuar dobësitë e rrjetit. Ky adoptim i mjeteve legjitime për qëllime të liga demonstron përshtatshmërinë dhe sofistikimin e malware.

Ndërsa fokusi i këtij zbulimi sillet rreth malware Mac, vlen të përmendet se studiuesit kanë zbuluar gjithashtu elementë që tregojnë ekzistencën e varianteve JokerSpy për platformat Windows dhe Linux. Kjo sugjeron që krijuesit e JokerSpy kanë zhvilluar versione që synojnë këto sisteme operative të njohura, duke zgjeruar kështu shtrirjen e tyre dhe ndikimin e mundshëm në platforma të shumta.

JokerSpy anashkalon mbrojtjen e sigurisë MacOS

Aktori i paidentifikuar i kërcënimit pas JokerSpy është vërejtur se përdor një teknikë për të anashkaluar mbrojtjen e transparencës, pëlqimit dhe kontrollit të macOS (TCC). Zakonisht, ata do të kërkonin leje të qartë të përdoruesit që aplikacionet të kenë akses në burime të ndjeshme në një Mac, të tilla si hard disku dhe kontaktet ose aftësia për të regjistruar ekranin.

Për të arritur objektivin e tyre, aktorët e kërcënimit zëvendësuan bazën e të dhënave ekzistuese TCC me të tyren, duke synuar të shtypin çdo sinjalizim që zakonisht do të aktivizohej kur ekzekutohet malware JokerSpy. Sulmet e mëparshme kanë treguar se aktorët e kërcënimit mund të shfrytëzojnë dobësitë brenda mbrojtjeve të TCC për t'i anashkaluar ato me sukses.

Në këtë rast të veçantë, komponenti i ekzekutueshëm xcc i JokerSpy luan një rol vendimtar në shfrytëzim. Ai kryen një kontroll në lejet e TCC, duke përcaktuar aplikacionin aktualisht aktiv me të cilin përdoruesi ndërvepronte. Më pas, ai vazhdon të shkarkojë dhe instalojë sh.py, motori kryesor përgjegjës për ekzekutimin e malware JokerSpy.

Duke përdorur këtë metodë, aktorët e kërcënimit arrijnë të përfitojnë nga një cenueshmëri e ditës zero në macOS, duke u dhënë atyre mundësinë për të kapur pamje nga ekranet e pajisjeve Mac të komprometuara.

Aftësitë e Shumëfishta Kërcënuese të Gjetura në Backdoor të JokerSpy

Pasi një sistem komprometohet dhe infektohet me JokerSpy, sulmuesi fiton kontroll të konsiderueshëm mbi të. Aftësitë e shfaqura nga ky kërcënim malware përfshijnë një gamë të gjerë funksionesh dhe veprimesh që mund të ekzekutohen në përputhje me qëllimet specifike të sulmuesve.

Këto funksione përfshijnë aftësinë për të ndaluar ekzekutimin e derës së pasme të JokerSpy të pranishme brenda pajisjes së thyer. Për më tepër, malware i mundëson sulmuesit të listojë skedarët e vendosur në një shteg të caktuar, të ekzekutojë komandat e guaskës dhe të marrë rezultatet e tyre, të lundrojë dhe të ndryshojë drejtoritë dhe të ekzekutojë kodin Python brenda kontekstit aktual.

JokerSpy posedon gjithashtu aftësinë për të deshifruar kodin Python të koduar nga Base64 të ofruar si parametër, për ta përpiluar atë dhe më pas për ta ekzekutuar atë brenda sistemit të infektuar. Për më tepër, malware i mundëson sulmuesit të fshijë skedarë ose drejtori nga sistemi i komprometuar, të ekzekutojë skedarë me ose pa parametra, të ngarkojë skedarë në sistemin e infektuar dhe të shkarkojë skedarë nga sistemi i infektuar.

Sulmuesit mund të udhëzojnë gjithashtu JokerSpy të marrë konfigurimin aktual të malware të ruajtur në skedarin e konfigurimit. Ky konfigurim mund të aksesohet dhe manipulohet nga sulmuesi për t'iu përshtatur objektivave të tij, pasi ata mund të anashkalojnë skedarin ekzistues të konfigurimit me vlera të reja që përputhen me qëllimet e tyre keqdashëse.

Duke shfaqur këto funksione dhe veprime të ndryshme, JokerSpy i ofron sulmuesit një grup të plotë mjetesh për të ushtruar kontroll dhe për të kryer aktivitete me qëllim të keq brenda sistemit të komprometuar. Këto aftësi nënvizojnë ashpërsinë dhe ndikimin e mundshëm të infeksioneve malware, duke theksuar rëndësinë kritike të zbatimit të masave të fuqishme të sigurisë për të parandaluar dhe zbutur kërcënime të tilla.