JokerSpy Backdoor

Дослідники з кібербезпеки виявили раніше невідому шкідливу програму для Mac, яка успішно заразила біржу криптовалют. Це зловмисне програмне забезпечення під назвою JokerSpy виділяється широким спектром можливостей, створюючи серйозну загрозу безпеці та конфіденційності уражених систем.

JokerSpy створено на мові програмування Python. Він демонструє широкий спектр шкідливих функцій, а його повний набір інструментів дозволяє не лише викрадати особисті дані, але й завантажувати та запускати додаткові шкідливі файли. У результаті жертви можуть бути піддані ще більшій потенційній шкоді.

Цікаво, що JokerSpy використовує інструмент з відкритим кодом під назвою SwiftBelt, спочатку створений для законних професіоналів із безпеки для оцінки вразливостей мережі. Це використання законних інструментів для нечесних цілей демонструє адаптивність і складність шкідливого програмного забезпечення.

Хоча це відкриття зосереджено навколо шкідливого програмного забезпечення для Mac, варто зазначити, що дослідники також виявили елементи, які вказують на існування варіантів JokerSpy для платформ Windows і Linux. Це свідчить про те, що творці JokerSpy розробили версії, націлені на ці популярні операційні системи, розширивши таким чином їх охоплення та потенційний вплив на багатьох платформах.

JokerSpy обходить засоби захисту MacOS

Було помічено, що невідомий загрозник, який стоїть за JokerSpy, використовує техніку для обходу засобів захисту прозорості, згоди та контролю (TCC) macOS. Зазвичай їм потрібен явний дозвіл користувача для доступу програм до конфіденційних ресурсів на Mac, таких як жорсткий диск і контакти, або можливість записувати екран.

Щоб досягти своєї мети, зловмисники замінили існуючу базу даних TCC власною, щоб придушити будь-які сповіщення, які зазвичай спрацьовують під час запуску зловмисного програмного забезпечення JokerSpy. Попередні атаки продемонстрували, що зловмисники можуть використовувати вразливості в захисті TCC, щоб успішно їх обійти.

У цьому конкретному випадку виконуваний компонент xcc JokerSpy відіграє вирішальну роль у експлойті. Він виконує перевірку дозволів TCC, визначаючи поточну активну програму, з якою взаємодіяв користувач. Згодом він переходить до завантаження та встановлення sh.py, основного механізму, відповідального за запуск шкідливого програмного забезпечення JokerSpy.

Використовуючи цей метод, зловмисникам вдається скористатися перевагами вразливості нульового дня в macOS, надаючи їм можливість робити знімки екрана скомпрометованих пристроїв Mac.

Численні загрозливі можливості, виявлені в бекдорі JokerSpy

Щойно систему зламано та заражено JokerSpy, зловмисник отримує значний контроль над нею. Можливості, які демонструє ця загроза зловмисного програмного забезпечення, охоплюють широкий спектр функцій і дій, які можна виконати відповідно до конкретних цілей зловмисників.

Ці функції включають можливість зупинити виконання бекдору JokerSpy, наявного на зламаному пристрої. Крім того, зловмисне програмне забезпечення дозволяє зловмиснику перераховувати файли, розташовані за вказаним шляхом, виконувати команди оболонки та отримувати їхні результати, переміщатися та змінювати каталоги, а також виконувати код Python у поточному контексті.

JokerSpy також має можливість декодувати код Python, закодований за допомогою Base64, наданий як параметр, компілювати його та згодом виконувати в зараженій системі. Крім того, зловмисне програмне забезпечення дозволяє зловмиснику видаляти файли або каталоги з скомпрометованої системи, запускати файли з параметрами або без них, завантажувати файли в заражену систему та завантажувати файли з зараженої системи.

Зловмисники також можуть наказати JokerSpy отримати поточну конфігурацію зловмисного програмного забезпечення, що зберігається у файлі конфігурації. Зловмисник може отримати доступ до цієї конфігурації та маніпулювати нею відповідно до своїх цілей, оскільки він може змінити існуючий файл конфігурації новими значеннями, які відповідають їхнім зловмисним намірам.

Пропонуючи ці різноманітні функції та дії, JokerSpy надає зловмиснику повний набір інструментів для здійснення контролю та здійснення шкідливих дій у скомпрометованій системі. Ці можливості підкреслюють серйозність і потенційний вплив зараження шкідливим програмним забезпеченням, наголошуючи на надзвичайно важливій реалізації надійних заходів безпеки для запобігання та пом’якшення таких загроз.