JokerSpy Backdoor

Истраживачи сајбер безбедности открили су раније непознати Мац малвер који је успешно заразио берзу криптовалута. Овај конкретан малвер, назван ЈокерСпи, истиче се због свог широког спектра могућности, представљајући изразиту претњу безбедности и приватности погођених система.

ЈокерСпи је направљен коришћењем програмског језика Питхон. Показује широк спектар злонамерних функционалности, а његов свеобухватан скуп алата омогућава му не само да краде приватне податке, већ и да преузима и извршава додатне злонамерне датотеке. Као резултат тога, жртве би могле бити изложене још већој потенцијалној штети.

Занимљиво је да ЈокерСпи користи алатку отвореног кода под називом СвифтБелт, првобитно креирану за легитимне професионалце за безбедност да процене рањивости мреже. Ово усвајање легитимних алата за злонамерне сврхе показује прилагодљивост и софистицираност малвера.

Док се фокус овог открића врти око Мац малвера, вреди напоменути да су истраживачи такође открили елементе који указују на постојање ЈокерСпи варијанти за Виндовс и Линук платформе. Ово сугерише да су креатори ЈокерСпи-а развили верзије које циљају на ове популарне оперативне системе, чиме су проширили њихов досег и потенцијални утицај на више платформи.

ЈокерСпи заобилази сигурносну заштиту МацОС-а

Примећено је да неидентификовани актер претњи који стоји иза ЈокерСпи-ја користи технику за заобилажење заштите мацОС транспарентности, сагласности и контроле (ТЦЦ). Обично би захтевали изричиту корисничку дозволу да апликације приступају осетљивим ресурсима на Мац рачунару, као што су чврсти диск и контакти или могућност снимања екрана.

Да би постигли свој циљ, актери претњи су заменили постојећу ТЦЦ базу података сопственом, са циљем да потисну сва упозорења која би се обично покренула када се изврши ЈокерСпи малвер. Претходни напади су показали да актери претњи могу да искористе рањивости унутар ТЦЦ заштите да би их успешно заобишли.

У овом конкретном случају, кцц извршна компонента ЈокерСпи-а игра кључну улогу у експлоатацији. Он врши проверу ТЦЦ дозвола, одређујући тренутно активну апликацију са којом је корисник био у интеракцији. Након тога, наставља са преузимањем и инсталирањем сх.пи, примарног механизма одговорног за покретање ЈокерСпи малвера.

Користећи ову методу, актери претњи успевају да искористе рањивост нултог дана у мацОС-у, дајући им могућност да праве снимке екрана компромитованих Мац уређаја.

Вишеструке претеће могућности које се налазе унутар ЈокерСпи Бацкдоор-а

Једном када систем постане компромитован и заражен ЈокерСпи-ом, нападач добија значајну контролу над њим. Могућности које показује ова претња малвером обухватају широк спектар функција и радњи које се могу извршити у складу са специфичним циљевима нападача.

Ове функције укључују могућност заустављања извршавања ЈокерСпи бацкдоор присутног унутар пробијеног уређаја. Поред тога, малвер омогућава нападачу да наведе датотеке које се налазе на одређеној путањи, да изврши команде љуске и преузме њихов излаз, да се креће и мења директоријуме и да изврши Питхон код у тренутном контексту.

ЈокерСпи такође поседује могућност да декодира Басе64 кодиран Питхон код који је обезбеђен као параметар, компајлира га и затим изврши у оквиру зараженог система. Штавише, малвер омогућава нападачу да избрише датотеке или директоријуме из компромитованог система, изврши датотеке са или без параметара, отпреми датотеке у заражени систем и преузме датотеке са зараженог система.

Нападачи такође могу да упуте ЈокерСпи-у да преузме тренутну конфигурацију малвера ускладиштеног у конфигурационој датотеци. Нападач може да приступи овој конфигурацији и да њоме манипулише како би одговарао њиховим циљевима, јер може да замени постојећу конфигурациону датотеку новим вредностима које су у складу са њиховим злонамерним намерама.

Приказујући ове различите функције и радње, ЈокерСпи пружа нападачу свеобухватан скуп алата за вршење контроле и обављање злонамерних активности унутар компромитованог система. Ове могућности наглашавају озбиљност и потенцијални утицај зараза малвером, наглашавајући критичну важност имплементације робусних безбедносних мера за спречавање и ублажавање таквих претњи.