JokerSpy Backdoor

Siber güvenlik araştırmacıları, bir kripto para borsasına başarıyla bulaşan, önceden bilinmeyen bir Mac kötü amaçlı yazılımını ortaya çıkardı. JokerSpy adı verilen bu özel kötü amaçlı yazılım, etkilenen sistemlerin güvenliği ve mahremiyetine yönelik belirgin bir tehdit oluşturan kapsamlı yetenekleri nedeniyle öne çıkıyor.

JokerSpy, Python programlama dili kullanılarak hazırlanmıştır. Çok çeşitli kötü amaçlı işlevler sergiler ve kapsamlı araç paketi, yalnızca özel verileri çalmasına değil, aynı zamanda ek kötü amaçlı dosyaları indirip yürütmesine de olanak tanır. Sonuç olarak, mağdurlar daha da büyük bir potansiyel hasara maruz kalabilir.

İlginç bir şekilde, JokerSpy, orijinal olarak meşru güvenlik profesyonellerinin ağ güvenlik açıklarını değerlendirmesi için oluşturulmuş SwiftBelt adlı açık kaynaklı bir araçtan yararlanır. Meşru araçların hain amaçlarla bu şekilde benimsenmesi, kötü amaçlı yazılımın uyarlanabilirliğini ve karmaşıklığını gösterir.

Bu keşfin odak noktası Mac kötü amaçlı yazılımı etrafında dönse de, araştırmacıların Windows ve Linux platformları için JokerSpy varyantlarının varlığını gösteren öğeler de tespit ettiklerini belirtmekte fayda var. Bu, JokerSpy'ın yaratıcılarının bu popüler işletim sistemlerini hedefleyen sürümler geliştirdiklerini ve böylece birden çok platformda erişimlerini ve potansiyel etkilerini genişlettiklerini gösteriyor.

JokerSpy, MacOS Güvenlik Korumalarını Atlıyor

JokerSpy'ın arkasındaki kimliği belirsiz tehdit aktörünün, macOS Şeffaflık, Rıza ve Kontrol (TCC) korumalarını atlatmak için bir teknik kullandığı gözlemlendi. Normalde, uygulamaların bir Mac'teki sabit sürücü ve kişiler veya ekranı kaydetme yeteneği gibi hassas kaynaklara erişmesi için açık kullanıcı izni gerektirirler.

Hedeflerine ulaşmak için tehdit aktörleri, JokerSpy kötü amaçlı yazılımı yürütüldüğünde tipik olarak tetiklenecek tüm uyarıları bastırmayı amaçlayarak mevcut TCC veritabanını kendi veritabanıyla değiştirdi. Önceki saldırılar, tehdit aktörlerinin TCC korumaları içindeki güvenlik açıklarını kullanarak bunları başarılı bir şekilde atlayabildiklerini göstermiştir.

Bu özel durumda, JokerSpy'ın xcc yürütülebilir bileşeni, istismarda çok önemli bir rol oynar. Kullanıcının etkileşimde bulunduğu o anda etkin olan uygulamayı belirleyerek TCC izinlerini kontrol eder. Ardından, JokerSpy kötü amaçlı yazılımını çalıştırmaktan sorumlu birincil motor olan sh.py'yi indirmeye ve kurmaya devam eder.

Tehdit aktörleri bu yöntemi kullanarak macOS'taki sıfırıncı gün güvenlik açığından yararlanmayı başarır ve onlara güvenliği ihlal edilmiş Mac cihazlarının ekran görüntülerini yakalama yeteneği verir.

JokerSpy Arka Kapısında Bulunan Çoklu Tehdit Yetenekleri

Bir sistemin güvenliği ihlal edildiğinde ve JokerSpy bulaştığında, saldırgan sistem üzerinde önemli bir kontrol elde eder. Bu kötü amaçlı yazılım tehdidi tarafından sergilenen yetenekler, saldırganların belirli hedeflerine göre yürütülebilecek çok çeşitli işlevleri ve eylemleri kapsar.

Bu işlevler, ihlal edilen cihazda bulunan JokerSpy arka kapısının yürütülmesini durdurma yeteneğini içerir. Ek olarak, kötü amaçlı yazılım, saldırganın belirli bir yolda bulunan dosyaları listelemesine, kabuk komutlarını yürütmesine ve çıktılarını almasına, dizinlerde gezinmesine ve değiştirmesine ve geçerli bağlam içinde Python kodunu yürütmesine olanak tanır.

JokerSpy ayrıca parametre olarak sağlanan Base64 kodlu Python kodunu çözme, derleme ve ardından virüslü sistem içinde çalıştırma yeteneğine de sahiptir. Ayrıca kötü amaçlı yazılım, saldırganın güvenliği ihlal edilmiş sistemdeki dosyaları veya dizinleri silmesine, dosyaları parametreli veya parametresiz yürütmesine, virüslü sisteme dosya yüklemesine ve virüslü sistemden dosya indirmesine olanak tanır.

Saldırganlar ayrıca JokerSpy'a yapılandırma dosyasında saklanan kötü amaçlı yazılımın mevcut yapılandırmasını alması talimatını verebilir. Saldırganlar, kötü niyetleriyle uyumlu yeni değerlerle mevcut yapılandırma dosyasını geçersiz kılabildikleri için, bu yapılandırmaya saldırgan tarafından hedeflerine uyacak şekilde erişilebilir ve değiştirilebilir.

JokerSpy, bu çeşitli işlevleri ve eylemleri sergileyerek, saldırgana güvenliği ihlal edilmiş sistem içinde kötü niyetli faaliyetleri kontrol etmesi ve yürütmesi için kapsamlı bir araç seti sağlar. Bu yetenekler, kötü amaçlı yazılım bulaşmalarının ciddiyetinin ve potansiyel etkisinin altını çizerek, bu tür tehditleri önlemek ve hafifletmek için sağlam güvenlik önlemleri uygulamanın kritik önemini vurguluyor.