Cryptocurrency Exchange faller offer för en aldrig tidigare skådad och förödande Mac Malware Attack
I en ny upptäckt har forskare avslöjat en ny stam av Mac-skadlig kod som har riktats mot ett utbyte av kryptovaluta, vilket utgör ett betydande hot mot säkerheten för användarnas pengar. Denna sofistikerade skadliga programvara, som heter JokerSpy, uppvisar ett brett utbud av funktioner, inklusive datastöld, nedladdning och exekvering av hotfulla filer och potentiell plattformsoberoende funktionalitet. JokerSpy, skrivet i Python, använder SwiftBelt, ett verktyg med öppen källkod som ursprungligen var avsett för legitima säkerhetstester. Den första exponeringen av JokerSpy kom fram genom en säkerhetsrapport, som avslöjade dess existens och väckte oro över dess potentiella tillgänglighet på Windows- och Linux-plattformar. Denna utveckling belyser kryptovalutabörsers pågående utmaningar och det ständiga behovet av robusta säkerhetsåtgärder för att skydda mot nya hot.
Innehållsförteckning
Hotets anatomi
JokerSpy skadlig programvara dök upp efter att ett särskilt verktyg för skydd av ändpunkter upptäckte en misstänkt binär fil som heter xcc. Offret som utsattes för skadlig programvara var en välkänd kryptovalutabörs i Japan. När xcc-filen väl dök upp försökte hackarna bakom JokerSpy att kringgå macOS säkerhetsskydd, känd som TCC, som kräver uttrycklig användartillstånd för applikationer att komma åt känsliga data och resurser. Hotaktörerna ersatte den befintliga TCC-databasen med sin egen, sannolikt för att förhindra att varningar visas när JokerSpy var aktiv. I tidigare attacker har hackare utnyttjat sårbarheter i TCC-skydden för att kringgå dem, och forskare har visat liknande attacker.
Huvudmotorn för JokerSpy malware har flera bakdörrsfunktioner som tillåter obehöriga åtgärder och ger kontroll över det komprometterade systemet. Dessa funktioner inkluderar att stoppa exekveringen av bakdörren (sk), lista filer i en specificerad sökväg (l), exekvera skalkommandon och returnera utdata (c), ändra den aktuella katalogen och tillhandahålla den nya sökvägen (cd), exekvera Python-kod inom det aktuella sammanhanget med hjälp av en tillhandahållen parameter (xs), avkodning och exekvering av Base64-kodad Python-kod (xsi), ta bort filer eller kataloger från systemet (r), exekvera filer från systemet med eller utan parametrar (e), ladda upp filer till det infekterade systemet (u), ladda ner filer från det infekterade systemet (d), hämta den aktuella konfigurationen av skadlig programvara från konfigurationsfilen (g), och åsidosätta skadlig programvaras konfigurationsfil med nya värden (w).
Dessa kommandon tillåter JokerSpy malware att utföra olika obehöriga åtgärder och utöva kontroll över det komprometterade systemet.
Som rapporterats, när ett system har äventyrats och infekterats med skadlig programvara som JokerSpy, får angriparen betydande kontroll över systemet. Med en bakdörr kan dock angripare till och med installera ytterligare komponenter diskret och potentiellt utföra ytterligare utnyttjande, observera användarnas handlingar, samla in inloggningsuppgifter eller kryptovaluta-plånböcker och utföra andra skadliga aktiviteter.
Infektionsvektor för närvarande okänd
Forskare är fortfarande osäkra på den exakta metoden för JokerSpys installation. Vissa tror starkt att den initiala åtkomstpunkten för denna skadliga programvara involverade ett osäkert eller komprometterat plugin eller tredjepartsberoende som gav hotaktören obehörig åtkomst. Denna teori stämmer överens med observationer som gjorts av Bitdefender-forskare, som hittade en hårdkodad domän i en version av sh.py-bakdörren som länkar till tweets som diskuterar en infekterad macOS QR-kodläsare med ett osäkert beroende. Det noterades också att den observerade hotaktören redan hade befintlig tillgång till den japanska kryptovalutabörsen.
För att identifiera potentiell inriktning av JokerSpy kan individer leta efter specifika indikatorer. Dessa inkluderar kryptografiska hashar av olika exempel på xcc och sh.py och kontakt med domäner, som git-hub[.]me och app.influmarket[.]org. Medan JokerSpy initialt gick obemärkt förbi av de flesta säkerhetsmotorer, kan ett bredare utbud av motorer nu upptäcka det. Även om det inte finns någon bekräftelse på att det finns Windows- eller Linux-versioner av JokerSpy, är det viktigt att vara medveten om att denna möjlighet finns.
Cryptocurrency Exchange faller offer för en aldrig tidigare skådad och förödande Mac Malware Attack skärmdumpar
