JokerSpy ลับๆ
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ Mac ที่ไม่รู้จักก่อนหน้านี้ ซึ่งติดไวรัสในการแลกเปลี่ยนสกุลเงินดิจิทัลได้สำเร็จ มัลแวร์นี้โดยเฉพาะที่เรียกว่า JokerSpy โดดเด่นด้วยความสามารถที่หลากหลาย ก่อให้เกิดภัยคุกคามต่อความปลอดภัยและความเป็นส่วนตัวของระบบที่ได้รับผลกระทบ
JokerSpy สร้างขึ้นโดยใช้ภาษาโปรแกรม Python มันแสดงฟังก์ชันที่เป็นอันตรายมากมาย และชุดเครื่องมือที่ครอบคลุมของมันไม่เพียงแต่ช่วยให้ขโมยข้อมูลส่วนตัวเท่านั้น แต่ยังดาวน์โหลดและเรียกใช้ไฟล์ที่เป็นอันตรายเพิ่มเติมอีกด้วย ส่งผลให้ผู้ที่ตกเป็นเหยื่ออาจได้รับความเสียหายมากยิ่งขึ้น
ที่น่าสนใจคือ JokerSpy ใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สชื่อ SwiftBelt ซึ่งเดิมสร้างขึ้นสำหรับผู้เชี่ยวชาญด้านความปลอดภัยที่ถูกต้องตามกฎหมายในการประเมินช่องโหว่ของเครือข่าย การใช้เครื่องมือที่ถูกต้องตามกฎหมายเพื่อจุดประสงค์ที่ชั่วร้ายนี้แสดงให้เห็นถึงความสามารถในการปรับตัวและความซับซ้อนของมัลแวร์
แม้ว่าการค้นพบนี้จะมุ่งเน้นไปที่มัลแวร์ Mac แต่ก็เป็นที่น่าสังเกตว่านักวิจัยได้ตรวจพบองค์ประกอบที่บ่งชี้ว่ามี JokerSpy ในรูปแบบต่าง ๆ สำหรับแพลตฟอร์ม Windows และ Linux สิ่งนี้ชี้ให้เห็นว่าผู้สร้าง JokerSpy ได้พัฒนาเวอร์ชันที่มีเป้าหมายเป็นระบบปฏิบัติการยอดนิยมเหล่านี้ ซึ่งจะช่วยขยายการเข้าถึงและผลกระทบที่อาจเกิดขึ้นในหลายแพลตฟอร์ม
JokerSpy ข้ามการป้องกันความปลอดภัยของ MacOS
ผู้คุกคามที่ไม่ปรากฏชื่อที่อยู่เบื้องหลัง JokerSpy ถูกสังเกตว่าใช้เทคนิคเพื่อหลีกเลี่ยงการป้องกันความโปร่งใส ความยินยอม และการควบคุม (TCC) ของ macOS โดยปกติแล้ว แอปพลิเคชันจะต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้งเพื่อให้แอปพลิเคชันเข้าถึงทรัพยากรที่ละเอียดอ่อนบน Mac เช่น ฮาร์ดไดรฟ์และรายชื่อผู้ติดต่อ หรือความสามารถในการบันทึกหน้าจอ
เพื่อให้บรรลุวัตถุประสงค์ ผู้ก่อภัยคุกคามได้แทนที่ฐานข้อมูล TCC ที่มีอยู่ด้วยฐานข้อมูลของตนเอง โดยมีเป้าหมายเพื่อระงับการแจ้งเตือนใดๆ ที่ปกติจะถูกเรียกใช้เมื่อมัลแวร์ JokerSpy ถูกดำเนินการ การโจมตีก่อนหน้านี้ได้แสดงให้เห็นว่าผู้คุกคามสามารถใช้ประโยชน์จากช่องโหว่ภายในการป้องกัน TCC เพื่อเลี่ยงผ่านได้สำเร็จ
ในกรณีนี้ คอมโพเนนต์ปฏิบัติการ xcc ของ JokerSpy มีบทบาทสำคัญในการหาประโยชน์ จะทำการตรวจสอบการอนุญาต TCC โดยกำหนดแอปพลิเคชันที่ใช้งานอยู่ในปัจจุบันซึ่งผู้ใช้โต้ตอบด้วย ต่อจากนั้นจะดำเนินการดาวน์โหลดและติดตั้ง sh.py ซึ่งเป็นเครื่องมือหลักที่รับผิดชอบในการรันมัลแวร์ JokerSpy
เมื่อใช้วิธีนี้ ผู้คุกคามสามารถใช้ประโยชน์จากช่องโหว่ Zero-day ใน macOS ทำให้สามารถจับภาพหน้าจอของอุปกรณ์ Mac ที่ถูกบุกรุกได้
ความสามารถที่คุกคามหลายอย่างที่พบใน JokerSpy Backdoor
เมื่อระบบถูกบุกรุกและติด JokerSpy ผู้โจมตีจะสามารถควบคุมมันได้อย่างมีนัยสำคัญ ความสามารถที่แสดงโดยภัยคุกคามมัลแวร์นี้ครอบคลุมฟังก์ชั่นและการกระทำที่หลากหลายที่สามารถดำเนินการได้ตามเป้าหมายเฉพาะของผู้โจมตี
ฟังก์ชั่นเหล่านี้รวมถึงความสามารถในการหยุดการดำเนินการของแบ็คดอร์ JokerSpy ที่มีอยู่ในอุปกรณ์ที่ถูกละเมิด นอกจากนี้ มัลแวร์ยังช่วยให้ผู้โจมตีแสดงรายการไฟล์ที่อยู่ในพาธที่ระบุ รันคำสั่งเชลล์และเรียกเอาต์พุต นำทางและเปลี่ยนไดเร็กทอรี และรันโค้ด Python ภายในบริบทปัจจุบัน
JokerSpy ยังมีความสามารถในการถอดรหัสรหัส Python ที่เข้ารหัส Base64 ที่ให้ไว้เป็นพารามิเตอร์ คอมไพล์มัน และดำเนินการตามนั้นภายในระบบที่ติดไวรัส นอกจากนี้ มัลแวร์ยังช่วยให้ผู้โจมตีสามารถลบไฟล์หรือไดเร็กทอรีจากระบบที่ถูกบุกรุก รันไฟล์โดยมีหรือไม่มีพารามิเตอร์ อัพโหลดไฟล์ไปยังระบบที่ติดไวรัส และดาวน์โหลดไฟล์จากระบบที่ติดไวรัส
ผู้โจมตียังสามารถสั่งให้ JokerSpy ดึงข้อมูลการกำหนดค่าปัจจุบันของมัลแวร์ที่เก็บอยู่ในไฟล์การกำหนดค่า ผู้โจมตีสามารถเข้าถึงและจัดการการกำหนดค่านี้เพื่อให้เหมาะกับวัตถุประสงค์ของพวกเขา เนื่องจากพวกเขาสามารถแทนที่ไฟล์การกำหนดค่าที่มีอยู่ด้วยค่าใหม่ที่สอดคล้องกับเจตนาร้ายของพวกเขา
ด้วยการแสดงฟังก์ชั่นและการกระทำที่หลากหลายเหล่านี้ JokerSpy มอบชุดเครื่องมือที่ครอบคลุมแก่ผู้โจมตีเพื่อใช้ควบคุมและดำเนินกิจกรรมที่เป็นอันตรายภายในระบบที่ถูกบุกรุก ความสามารถเหล่านี้เน้นย้ำถึงความรุนแรงและผลกระทบที่อาจเกิดขึ้นจากการติดมัลแวร์ โดยเน้นย้ำถึงความสำคัญอย่างยิ่งยวดของการใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งเพื่อป้องกันและบรรเทาภัยคุกคามดังกล่าว
