Cryptocurrency Exchange, Eşi Görülmemiş ve Yıkıcı Mac Kötü Amaçlı Yazılım Saldırısının Kurbanı Oldu
Yakın tarihli bir keşifte araştırmacılar, bir kripto para borsasını hedef alan ve kullanıcıların fonlarının güvenliği için önemli bir tehdit oluşturan yeni bir Mac kötü amaçlı yazılım türünü ortaya çıkardılar. JokerSpy adlı bu gelişmiş kötü amaçlı yazılım, veri hırsızlığı, tehdit edici dosyaları indirme ve yürütme ve olası platformlar arası işlevsellik dahil olmak üzere çok çeşitli yetenekler sergiliyor. Python'da yazılan JokerSpy, başlangıçta meşru güvenlik testleri için tasarlanmış açık kaynaklı bir araç olan SwiftBelt'ten yararlanır. JokerSpy'ın ilk teşhiri, varlığını ortaya çıkaran ve Windows ve Linux platformlarındaki potansiyel kullanılabilirliği hakkında endişeleri artıran bir güvenlik raporu aracılığıyla gün ışığına çıktı. Bu gelişme, kripto para birimi borsalarının devam eden zorluklarını ve ortaya çıkan tehditlere karşı korunmak için sürekli olarak sağlam güvenlik önlemlerine olan ihtiyacı vurgulamaktadır.
İçindekiler
Tehdidin Anatomisi
JokerSpy kötü amaçlı yazılımı, belirli bir uç nokta koruma aracının xcc adlı şüpheli bir ikili dosya tespit etmesinden sonra ortaya çıktı. Kötü amaçlı yazılımın hedeflediği kurban, Japonya'da iyi bilinen bir kripto para borsasıydı. Xcc dosyası ortaya çıktığında, JokerSpy'ın arkasındaki bilgisayar korsanları, uygulamaların hassas verilere ve kaynaklara erişmesi için açık kullanıcı izni gerektiren, macOS'un TCC olarak bilinen güvenlik korumalarını atlamaya çalıştı. Tehdit aktörleri, JokerSpy etkinken uyarıların görünmesini engellemek için mevcut TCC veritabanını kendi veritabanıyla değiştirdi. Daha önceki saldırılarda, bilgisayar korsanları TCC korumalarındaki güvenlik açıklarını kullanarak bunları atlatmış ve araştırmacılar benzer saldırılar göstermişti.
JokerSpy kötü amaçlı yazılımının ana motoru, yetkisiz eylemlere izin veren ve güvenliği ihlal edilmiş sistem üzerinde kontrol sağlayan birden fazla arka kapı işlevine sahiptir. Bu işlevler, arka kapının yürütülmesini durdurmayı (sk), dosyaları belirli bir yolda listelemeyi (l), kabuk komutlarını yürütmeyi ve çıktıyı döndürmeyi (c), mevcut dizini değiştirmeyi ve yeni yolu sağlamayı (cd), içinde Python kodunu çalıştırmayı içerir. Sağlanan bir parametreyi (xs) kullanarak geçerli bağlam, Base64 ile kodlanmış Python kodunun (xsi) kodunu çözme ve yürütme, sistemden dosyaları veya dizinleri kaldırma (r), parametreleri olsun veya olmasın sistemden dosyaları yürütme (e), dosyaları virüslü sistem (u), virüslü sistemden dosya indirme (d), kötü amaçlı yazılımın mevcut yapılandırmasını yapılandırma dosyasından alma (g) ve kötü amaçlı yazılımın yapılandırma dosyasını yeni değerlerle geçersiz kılma (w).
Bu komutlar, JokerSpy kötü amaçlı yazılımının çeşitli yetkisiz eylemler gerçekleştirmesine ve güvenliği ihlal edilmiş sistem üzerinde kontrol uygulamasına izin verir.
Bildirildiği üzere, bir sistemin güvenliği ihlal edildiğinde ve JokerSpy gibi bir kötü amaçlı yazılım bulaştığında, saldırgan sistem üzerinde önemli bir kontrol elde eder. Bununla birlikte, bir arka kapı ile saldırganlar, ek bileşenleri ihtiyatlı bir şekilde yükleyebilir ve potansiyel olarak daha fazla istismar gerçekleştirebilir, kullanıcıların eylemlerini gözlemleyebilir, oturum açma kimlik bilgilerini veya kripto para birimi cüzdanlarını toplayabilir ve diğer zararlı faaliyetleri gerçekleştirebilir.
Şu Anda Bilinmeyen Enfeksiyon Vektörü
Araştırmacılar, JokerSpy'ın kurulumunun kesin yöntemi konusunda hala emin değiller. Bazıları, bu kötü amaçlı yazılım için ilk erişim noktasının, tehdit aktörüne yetkisiz erişim sağlayan güvenli olmayan veya güvenliği ihlal edilmiş bir eklenti veya üçüncü taraf bağımlılığı içerdiğine inanıyor. Bu teori, güvenli olmayan bir bağımlılığa sahip virüslü bir macOS QR kod okuyucusunu tartışan tweet'lere bağlanan sh.py arka kapısının bir sürümünde sabit kodlanmış bir alan bulan Bitdefender araştırmacıları tarafından yapılan gözlemlerle uyumludur. Ayrıca, gözlemlenen tehdit aktörünün Japon kripto para borsasına önceden erişime sahip olduğu da kaydedildi.
JokerSpy tarafından potansiyel hedeflemeyi belirlemek için bireyler belirli göstergeler arayabilir. Bunlar, farklı xcc ve sh.py örneklerinin kriptografik karmalarını ve git-hub[.]me ve app.influmarket[.]org gibi etki alanlarıyla iletişimi içerir. JokerSpy başlangıçta çoğu güvenlik motoru tarafından fark edilmese de, artık daha geniş bir motor yelpazesi onu tespit edebiliyor. JokerSpy'ın Windows veya Linux sürümlerinin varlığına dair bir onay olmasa da, bu olasılığın var olduğunun bilinmesi önemlidir.
Cryptocurrency Exchange, Eşi Görülmemiş ve Yıkıcı Mac Kötü Amaçlı Yazılım Saldırısının Kurbanı Oldu Ekran Görüntüsü
