Shkëmbimi i kriptomonedhave bie viktimë e një sulmi të paparë dhe shkatërrues të malware Mac
Në një zbulim të fundit, studiuesit kanë zbuluar një lloj të ri të malware Mac që ka shënjestruar një shkëmbim kriptomonedhe, duke paraqitur një kërcënim të rëndësishëm për sigurinë e fondeve të përdoruesve. Ky malware i sofistikuar, i quajtur JokerSpy, shfaq një gamë të gjerë aftësish, duke përfshirë vjedhjen e të dhënave, shkarkimin dhe ekzekutimin e skedarëve kërcënues dhe funksionalitetin e mundshëm ndër-platformë. I shkruar në Python, JokerSpy përdor SwiftBelt, një mjet me burim të hapur i destinuar fillimisht për testimin legjitim të sigurisë. Ekspozimi fillestar i JokerSpy doli në dritë përmes një raporti sigurie, duke zbuluar ekzistencën e tij dhe duke ngritur shqetësime për disponueshmërinë e tij të mundshme në platformat Windows dhe Linux. Ky zhvillim nxjerr në pah sfidat e vazhdueshme të shkëmbimeve të kriptomonedhave dhe nevojën e vazhdueshme për masa të forta sigurie për t'u mbrojtur kundër kërcënimeve në zhvillim.
Tabela e Përmbajtjes
Anatomia e Kërcënimit
Malware JokerSpy u shfaq pasi një mjet i veçantë i mbrojtjes së pikës fundore zbuloi një skedar binar të dyshimtë të quajtur xcc. Viktima e shënjestruar nga malware ishte një shkëmbim i njohur kriptomonedhash në Japoni. Pasi u shfaq skedari xcc, hakerat pas JokerSpy u përpoqën të anashkalonin mbrojtjen e sigurisë së macOS, të njohur si TCC, të cilat kërkojnë leje të qartë të përdoruesit për aplikacionet për të hyrë në të dhëna dhe burime të ndjeshme. Aktorët e kërcënimit zëvendësuan bazën e të dhënave ekzistuese TCC me të tyren, me gjasë për të parandaluar shfaqjen e sinjalizimeve kur JokerSpy ishte aktiv. Në sulmet e mëparshme, hakerët shfrytëzuan dobësitë në mbrojtjen e TCC për t'i anashkaluar ato, dhe studiuesit kanë demonstruar sulme të ngjashme.
Motori kryesor i malware JokerSpy ka funksionalitete të shumta të prapambetura që lejojnë veprime të paautorizuara dhe ofrojnë kontroll mbi sistemin e komprometuar. Këto funksione përfshijnë ndalimin e ekzekutimit të derës së pasme (sk), renditjen e skedarëve në një shteg të caktuar (l), ekzekutimin e komandave të guaskës dhe kthimin e daljes (c), ndryshimin e drejtorisë aktuale dhe sigurimin e shtegut të ri (cd), ekzekutimin e kodit Python brenda konteksti aktual duke përdorur një parametër të dhënë (xs), duke deshifruar dhe ekzekutuar kodin Python të koduar nga Base64 (xsi), duke hequr skedarët ose drejtoritë nga sistemi (r), duke ekzekutuar skedarë nga sistemi me ose pa parametra (e), duke ngarkuar skedarë në sistemi i infektuar (u), shkarkimi i skedarëve nga sistemi i infektuar (d), marrja e konfigurimit aktual të malware nga skedari i konfigurimit (g) dhe anulimi i skedarit të konfigurimit të malware me vlera të reja (w).
Këto komanda lejojnë programin keqdashës JokerSpy të kryejë veprime të ndryshme të paautorizuara dhe të ushtrojë kontroll mbi sistemin e komprometuar.
Siç raportohet, pasi një sistem komprometohet dhe infektohet me një malware si JokerSpy, sulmuesi fiton kontroll të konsiderueshëm mbi sistemin. Megjithatë, me një backdoor, sulmuesit madje mund të instalojnë komponentë shtesë në mënyrë diskrete dhe potencialisht të ekzekutojnë shfrytëzime të mëtejshme, të vëzhgojnë veprimet e përdoruesve, të mbledhin kredencialet e hyrjes ose kuletat e kriptomonedhave dhe të kryejnë aktivitete të tjera të dëmshme.
Vektor infeksioni aktualisht i panjohur
Studiuesit janë ende të pasigurt për metodën e saktë të instalimit të JokerSpy. Disa besojnë fuqimisht se pika fillestare e hyrjes për këtë malware përfshinte një shtojcë të pasigurt ose të komprometuar ose varësi nga palët e treta që i siguronte aktorit të kërcënimit akses të paautorizuar. Kjo teori përputhet me vëzhgimet e bëra nga studiuesit e Bitdefender, të cilët gjetën një domen të koduar në një version të derës së pasme sh.py që lidhet me tweet-et që diskutojnë një lexues të infektuar të kodit macOS QR me një varësi të pasigurt. Gjithashtu u vu re se aktori i vëzhguar i kërcënimit tashmë kishte akses para-ekzistues në shkëmbimin japonez të kriptomonedhës.
Për të identifikuar synimet e mundshme nga JokerSpy, individët mund të kërkojnë tregues specifikë. Këto përfshijnë hash kriptografikë të mostrave të ndryshme të xcc dhe sh.py dhe kontaktin me domenet, si git-hub[.]me dhe app.influmarket[.]org. Ndërsa JokerSpy fillimisht kaloi pa u vënë re nga shumica e motorëve të sigurisë, një gamë më e gjerë motorësh tani mund ta zbulojnë atë. Ndërsa nuk ka asnjë konfirmim për ekzistencën e versioneve Windows ose Linux të JokerSpy, është thelbësore të jeni të vetëdijshëm se kjo mundësi ekziston.
Shkëmbimi i kriptomonedhave bie viktimë e një sulmi të paparë dhe shkatërrues të malware Mac pamje nga ekrani
