Размена криптовалута постала жртва невиђеног и разорног Мац малвер напада
У недавном открићу, истраживачи су открили нови сој Мац малвера који је циљао на размену криптовалута, представљајући значајну претњу по безбедност средстава корисника. Овај софистицирани малвер, назван ЈокерСпи, показује широк спектар могућности, укључујући крађу података, преузимање и извршавање претећих датотека и потенцијалну функционалност на више платформи. Написан на Питхон-у, ЈокерСпи користи СвифтБелт, алатку отвореног кода која је првобитно била намењена легитимном безбедносном тестирању. Првобитно излагање ЈокерСпи-а изашло је на видело кроз безбедносни извештај, откривајући његово постојање и изазивајући забринутост око његове потенцијалне доступности на Виндовс и Линук платформама. Овај развој наглашава сталне изазове берзи криптовалута и сталну потребу за снажним безбедносним мерама за заштиту од нових претњи.
Преглед садржаја
Анатомија претње
ЈокерСпи малвер се појавио након што је одређени алат за заштиту крајње тачке открио сумњиву бинарну датотеку под називом кцц. Жртва на мети злонамерног софтвера била је позната берза криптовалута у Јапану. Када се појавила кцц датотека, хакери који стоје иза ЈокерСпи-ја покушали су да заобиђу сигурносну заштиту МацОС-а, познату као ТЦЦ, која захтева изричиту корисничку дозволу да апликације приступају осетљивим подацима и ресурсима. Актери претњи су заменили постојећу ТЦЦ базу података својом, вероватно да би спречили појављивање упозорења када је ЈокерСпи био активан. У претходним нападима, хакери су искористили рањивости у ТЦЦ заштити да би их заобишли, а истраживачи су демонстрирали сличне нападе.
Главни механизам ЈокерСпи малвера има вишеструке бацкдоор функционалности које омогућавају неовлашћене радње и обезбеђују контролу над компромитованим системом. Ове функционалности укључују заустављање извршавања бацкдоор-а (ск), навођење датотека на одређеној путањи (л), извршавање команди љуске и враћање излаза (ц), промену тренутног директоријума и обезбеђивање нове путање (цд), извршавање Питхон кода унутар тренутни контекст коришћењем датог параметра (кс), декодирање и извршавање Басе64 кодираног Питхон кода (кси), уклањање датотека или директоријума из система (р), извршавање датотека из система са или без параметара (е), отпремање датотека на заражени систем (у), преузимање датотека са зараженог система (д), преузимање тренутне конфигурације малвера из конфигурационе датотеке (г) и замена конфигурационе датотеке малвера новим вредностима (в).
Ове команде омогућавају ЈокерСпи малверу да обавља различите неовлашћене радње и врши контролу над компромитованим системом.
Како је објављено, када је систем компромитован и заражен малвером као што је ЈокерСпи, нападач добија значајну контролу над системом. Са бацкдоор-ом, међутим, нападачи могу чак дискретно да инсталирају додатне компоненте и потенцијално изврше даље експлоатације, посматрају радње корисника, прикупљају акредитиве за пријаву или новчанике за криптовалуте и врше друге штетне активности.
Вектор инфекције тренутно непознат
Истраживачи још увек нису сигурни у прецизну методу инсталирања ЈокерСпи-а. Неки чврсто верују да је иницијална приступна тачка за овај малвер укључивала небезбедни или компромитовани додатак или зависност од треће стране који су актеру претње обезбедили неовлашћен приступ. Ова теорија је у складу са запажањима истраживача Битдефендер-а, који су пронашли тврдо кодирани домен у верзији сх.пи бацкдоор-а који се повезује са твитовима који расправљају о зараженом читачу КР кодова за МацОС са несигурном зависношћу. Такође је примећено да је примећени актер претње већ имао приступ јапанској размени криптовалута.
Да би идентификовали потенцијално циљање од стране ЈокерСпи-а, појединци могу да траже специфичне индикаторе. То укључује криптографске хешове различитих узорака кцц и сх.пи и контакт са доменима, као што су гит-хуб[.]ме и апп.инфлумаркет[.]орг. Док је ЈокерСпи у почетку остао непримећен од стране већине безбедносних механизама, шири спектар мотора сада га може открити. Иако нема потврде о постојању Виндовс или Линук верзија ЈокерСпи-а, неопходно је бити свестан да ова могућност постоји.
Размена криптовалута постала жртва невиђеног и разорног Мац малвер напада снимака екрана
