JokerSpy Bakdörr

Cybersäkerhetsforskare har upptäckt en tidigare okänd skadlig programvara för Mac som framgångsrikt har infekterat en kryptovalutabörs. Denna speciella skadliga programvara, kallad JokerSpy, sticker ut på grund av sitt omfattande utbud av möjligheter, vilket utgör ett uttryckligt hot mot säkerheten och integriteten för berörda system.

JokerSpy är skapad med hjälp av programmeringsspråket Python. Den uppvisar ett brett utbud av skadliga funktioner, och dess omfattande svit av verktyg gör det möjligt för den att inte bara stjäla privata data utan också att ladda ner och köra ytterligare skadliga filer. Som ett resultat kan offren utsättas för ännu större potentiella skador.

Intressant nog använder JokerSpy ett verktyg med öppen källkod som heter SwiftBelt, som ursprungligen skapades för legitima säkerhetspersonal för att bedöma nätverkssårbarheter. Detta antagande av legitima verktyg för illvilliga syften visar anpassningsförmågan och sofistikeringen hos skadlig programvara.

Även om fokus för denna upptäckt kretsar kring Mac malware, är det värt att notera att forskarna också har upptäckt element som indikerar existensen av JokerSpy-varianter för Windows och Linux-plattformar. Detta tyder på att skaparna av JokerSpy har utvecklat versioner som riktar sig till dessa populära operativsystem, och därmed utökat deras räckvidd och potentiella inverkan över flera plattformar.

JokerSpy förbigår MacOS säkerhetsskydd

Den oidentifierade hotaktören bakom JokerSpy har observerats använda en teknik för att kringgå macOS-skydden för transparens, samtycke och kontroll (TCC). Vanligtvis skulle de kräva uttryckligt användartillstånd för att program ska få åtkomst till känsliga resurser på en Mac, som hårddisken och kontakter eller möjligheten att spela in skärmen.

För att uppnå sitt mål ersatte hotaktörerna den befintliga TCC-databasen med sin egen, i syfte att undertrycka alla varningar som vanligtvis skulle utlösas när JokerSpy skadlig kod exekveras. Tidigare attacker har visat att hotaktörer kan utnyttja sårbarheter inom TCC-skydden för att lyckas kringgå dem.

I det här speciella fallet spelar den xcc körbara komponenten av JokerSpy en avgörande roll i exploateringen. Den utför en kontroll av TCC-behörigheterna och bestämmer den för närvarande aktiva applikationen som användaren interagerade med. Därefter fortsätter det att ladda ner och installera sh.py, den primära motorn som är ansvarig för att köra JokerSpy malware.

Genom att använda denna metod lyckas hotaktörerna dra fördel av en nolldagarssårbarhet i macOS, vilket ger dem möjligheten att ta skärmdumpar av komprometterade Mac-enheter.

De flera hotfulla funktionerna som finns i JokerSpy Backdoor

När ett system väl har äventyrats och infekterats med JokerSpy, får angriparen betydande kontroll över det. Möjligheterna som detta skadliga hot uppvisar omfattar ett brett utbud av funktioner och åtgärder som kan utföras i enlighet med angriparnas specifika mål.

Dessa funktioner inkluderar möjligheten att stoppa exekveringen av JokerSpy-bakdörren som finns i den brutna enheten. Dessutom gör den skadliga programvaran det möjligt för angriparen att lista filer som finns i en angiven sökväg, utföra skalkommandon och hämta deras utdata, navigera och ändra kataloger och köra Python-kod i det aktuella sammanhanget.

JokerSpy har också förmågan att avkoda Base64-kodad Python-kod som tillhandahålls som en parameter, kompilera den och sedan exekvera den i det infekterade systemet. Dessutom gör den skadliga programvaran det möjligt för angriparen att ta bort filer eller kataloger från det komprometterade systemet, köra filer med eller utan parametrar, ladda upp filer till det infekterade systemet och ladda ner filer från det infekterade systemet.

Angriparna kan också instruera JokerSpy att hämta den aktuella konfigurationen av skadlig programvara som lagras i konfigurationsfilen. Denna konfiguration kan nås och manipuleras av angriparen för att passa deras mål, eftersom de kan åsidosätta den befintliga konfigurationsfilen med nya värden som är i linje med deras skadliga avsikter.

Genom att uppvisa dessa olika funktioner och åtgärder förser JokerSpy angriparen med en omfattande uppsättning verktyg för att utöva kontroll och utföra skadliga aktiviteter inom det komprometterade systemet. Dessa funktioner understryker svårighetsgraden och potentiella effekterna av infektioner med skadlig programvara, och betonar den avgörande vikten av att implementera robusta säkerhetsåtgärder för att förhindra och mildra sådana hot.