JokerSpy Backdoor
Natuklasan ng mga mananaliksik sa cybersecurity ang isang dating hindi kilalang Mac malware na matagumpay na nahawahan ang isang cryptocurrency exchange. Ang partikular na malware na ito, na tinatawag na JokerSpy, ay namumukod-tangi dahil sa malawak na hanay ng mga kakayahan nito, na nagpapakita ng malinaw na banta sa seguridad at privacy ng mga apektadong system.
Ang JokerSpy ay ginawa gamit ang Python programming language. Nagpapakita ito ng malawak na hanay ng mga nakakahamak na pag-andar, at ang komprehensibong hanay ng mga tool nito ay nagbibigay-daan dito na hindi lamang kunin ang pribadong data kundi pati na rin mag-download at magsagawa ng mga karagdagang nakakahamak na file. Bilang resulta, ang mga biktima ay maaaring mapasailalim sa mas malaking potensyal na pinsala.
Kapansin-pansin, ang JokerSpy ay gumagamit ng isang open-source na tool na pinangalanang SwiftBelt, na orihinal na nilikha para sa mga lehitimong propesyonal sa seguridad upang masuri ang mga kahinaan sa network. Ang pag-aampon na ito ng mga lehitimong tool para sa masasamang layunin ay nagpapakita ng kakayahang umangkop at pagiging sopistikado ng malware.
Habang ang pokus ng pagtuklas na ito ay umiikot sa Mac malware, nararapat na tandaan na ang mga mananaliksik ay nakakita rin ng mga elemento na nagpapahiwatig ng pagkakaroon ng mga variant ng JokerSpy para sa mga platform ng Windows at Linux. Iminumungkahi nito na ang mga tagalikha ng JokerSpy ay nakabuo ng mga bersyon na nagta-target sa mga sikat na operating system na ito, sa gayon ay pinalawak ang kanilang abot at potensyal na epekto sa maraming platform.
Nilampasan ng JokerSpy ang Mga Proteksyon sa Seguridad ng MacOS
Ang hindi kilalang banta na aktor sa likod ng JokerSpy ay naobserbahang gumamit ng isang pamamaraan upang iwasan ang mga proteksyon ng macOS Transparency, Consent, and Control (TCC). Karaniwan, mangangailangan sila ng tahasang pahintulot ng user para sa mga application na ma-access ang mga sensitibong mapagkukunan sa isang Mac, tulad ng hard drive at mga contact o ang kakayahang i-record ang screen.
Upang makamit ang kanilang layunin, pinalitan ng mga banta ng aktor ang umiiral na database ng TCC ng kanilang sarili, na naglalayong sugpuin ang anumang mga alerto na karaniwang ma-trigger kapag ang JokerSpy malware ay naisakatuparan. Ipinakita ng mga nakaraang pag-atake na maaaring samantalahin ng mga aktor ng pagbabanta ang mga kahinaan sa loob ng mga proteksyon ng TCC upang matagumpay na ma-bypass ang mga ito.
Sa partikular na kaso, ang xcc executable component ng JokerSpy ay gumaganap ng isang mahalagang papel sa pagsasamantala. Nagsasagawa ito ng pagsusuri sa mga pahintulot ng TCC, na tinutukoy ang kasalukuyang aktibong application kung saan nakikipag-ugnayan ang user. Kasunod nito, nagpapatuloy ito sa pag-download at pag-install ng sh.py, ang pangunahing engine na responsable sa pagpapatakbo ng JokerSpy malware.
Sa pamamagitan ng paggamit sa paraang ito, pinamamahalaan ng mga banta ng aktor na samantalahin ang isang zero-day na kahinaan sa macOS, na nagbibigay sa kanila ng kakayahang kumuha ng mga screenshot ng mga nakompromisong Mac device.
Ang Maramihang Mga Kakayahang Nagbabanta na Natagpuan sa loob ng JokerSpy Backdoor
Kapag ang isang system ay nakompromiso at nahawahan ng JokerSpy, ang umaatake ay magkakaroon ng malaking kontrol dito. Ang mga kakayahan na ipinakita ng banta ng malware na ito ay sumasaklaw sa malawak na hanay ng mga pag-andar at pagkilos na maaaring isagawa alinsunod sa mga partikular na layunin ng mga umaatake.
Kasama sa mga function na ito ang kakayahang ihinto ang pagpapatupad ng backdoor ng JokerSpy na nasa loob ng nalabag na device. Bukod pa rito, binibigyang-daan ng malware ang attacker na maglista ng mga file na matatagpuan sa isang tinukoy na path, magsagawa ng mga shell command at makuha ang kanilang output, mag-navigate at magpalit ng mga direktoryo, at magsagawa ng Python code sa loob ng kasalukuyang konteksto.
Ang JokerSpy ay nagtataglay din ng kakayahang mag-decode ng Base64-encoded Python code na ibinigay bilang isang parameter, i-compile ito, at pagkatapos ay isagawa ito sa loob ng nahawaang sistema. Bukod dito, binibigyang-daan ng malware ang umaatake na magtanggal ng mga file o direktoryo mula sa nakompromisong system, magsagawa ng mga file na mayroon o walang mga parameter, mag-upload ng mga file sa nahawaang system, at mag-download ng mga file mula sa nahawaang system.
Maaari ding turuan ng mga umaatake ang JokerSpy na kunin ang kasalukuyang configuration ng malware na nakaimbak sa configuration file. Ang configuration na ito ay maaaring ma-access at manipulahin ng attacker upang umangkop sa kanilang mga layunin, dahil maaari nilang i-override ang umiiral nang configuration file na may mga bagong value na naaayon sa kanilang mga malisyosong intensyon.
Sa pamamagitan ng pagpapakita ng iba't ibang function at pagkilos na ito, binibigyan ng JokerSpy ang umaatake ng isang komprehensibong hanay ng mga tool upang kontrolin at isagawa ang mga malisyosong aktibidad sa loob ng nakompromisong system. Ang mga kakayahang ito ay binibigyang-diin ang kalubhaan at potensyal na epekto ng mga impeksyon sa malware, na nagbibigay-diin sa kritikal na kahalagahan ng pagpapatupad ng matatag na mga hakbang sa seguridad upang maiwasan at mapagaan ang mga naturang banta.
