Криптовалютна біржа стала жертвою безпрецедентної та нищівної атаки зловмисного програмного забезпечення Mac
У нещодавньому відкритті дослідники виявили новий штам зловмисного програмного забезпечення Mac, націленого на біржу криптовалют, створюючи серйозну загрозу безпеці коштів користувачів. Ця складна шкідлива програма під назвою JokerSpy демонструє широкий спектр можливостей, включаючи крадіжку даних, завантаження та виконання загрозливих файлів, а також потенційну кросплатформну функціональність. Написаний на Python, JokerSpy використовує SwiftBelt, інструмент із відкритим кодом, спочатку призначений для законного тестування безпеки. Початкове виявлення JokerSpy стало відомим через звіт про безпеку, що виявило його існування та викликало занепокоєння щодо його потенційної доступності на платформах Windows і Linux. Цей розвиток підкреслює постійні виклики бірж криптовалют і постійну потребу в надійних заходах безпеки для захисту від нових загроз.
Зміст
Анатомія загрози
Шкідлива програма JokerSpy з’явилася після того, як певний інструмент захисту кінцевої точки виявив підозрілий двійковий файл під назвою xcc. Жертвою зловмисного ПЗ стала відома японська біржа криптовалют. Коли з’явився файл xcc, хакери, які стоять за JokerSpy, спробували обійти засоби захисту macOS, відомі як TCC, які вимагають явного дозволу користувача для доступу програм до конфіденційних даних і ресурсів. Зловмисники замінили наявну базу даних TCC власною, ймовірно, щоб запобігти появі сповіщень, коли JokerSpy був активним. У попередніх атаках хакери використовували вразливості в захисті TCC, щоб обійти їх, і дослідники продемонстрували подібні атаки.
Основний механізм зловмисного програмного забезпечення JokerSpy має кілька функцій бекдору, які дозволяють несанкціоновані дії та забезпечують контроль над скомпрометованою системою. Ці функції включають зупинку виконання бекдору (sk), перелік файлів у вказаному шляху (l), виконання команд оболонки та повернення результату (c), зміну поточного каталогу та надання нового шляху (cd), виконання коду Python у межах поточний контекст за допомогою наданого параметра (xs), декодування та виконання кодованого коду Python за допомогою Base64 (xsi), видалення файлів або каталогів із системи (r), виконання файлів із системи з параметрами або без них (e), завантаження файлів у заражена система (u), завантаження файлів із зараженої системи (d), отримання поточної конфігурації шкідливого програмного забезпечення з файлу конфігурації (g) і заміна файлу конфігурації шкідливого програмного забезпечення новими значеннями (w).
Ці команди дозволяють зловмисному програмному забезпеченню JokerSpy виконувати різноманітні неавторизовані дії та контролювати скомпрометовану систему.
Як повідомляється, коли система скомпрометована та заражена шкідливим програмним забезпеченням, таким як JokerSpy, зловмисник отримує значний контроль над системою. Однак за допомогою бекдора зловмисники можуть навіть непомітно встановлювати додаткові компоненти та потенційно виконувати подальші експлойти, спостерігати за діями користувачів, збирати облікові дані для входу чи гаманці криптовалюти та здійснювати інші шкідливі дії.
Переносник інфекції наразі невідомий
Дослідники досі не впевнені щодо точного методу встановлення JokerSpy. Деякі твердо переконані, що початкова точка доступу для цього зловмисного програмного забезпечення включала небезпечний або скомпрометований плагін або сторонню залежність, яка надала загрозливому учаснику неавторизований доступ. Ця теорія узгоджується зі спостереженнями дослідників Bitdefender, які виявили жорстко закодований домен у версії бекдора sh.py, що посилається на твіти, в яких обговорюється інфікований зчитувач QR-коду macOS із небезпечною залежністю. Також було зазначено, що спостережуваний суб’єкт загрози вже мав доступ до японської біржі криптовалют.
Щоб визначити потенційне націлювання JokerSpy, люди можуть шукати певні показники. До них належать криптографічні хеші різних зразків xcc і sh.py і зв’язок із доменами, такими як git-hub[.]me та app.influmarket[.]org. Хоча JokerSpy спочатку залишався непоміченим більшістю механізмів безпеки, тепер його може виявити більш широкий спектр механізмів. Хоча немає підтвердження існування версій JokerSpy для Windows або Linux, важливо знати, що така можливість існує.
Криптовалютна біржа стала жертвою безпрецедентної та нищівної атаки зловмисного програмного забезпечення Mac скріншотів
