Giảm giá nhiều giấy phép
Threat Database Mac Malware JokerSpy Backdoor

JokerSpy Backdoor

Đến năm Mezo năm Mac Malware, Backdoors
Dịch sang:
Tiếng Việt Nam

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại Mac chưa từng được biết đến trước đây đã lây nhiễm thành công một sàn giao dịch tiền điện tử. Phần mềm độc hại đặc biệt này, được gọi là JokerSpy, nổi bật nhờ có nhiều khả năng, gây ra mối đe dọa rõ rệt đối với tính bảo mật và quyền riêng tư của các hệ thống bị ảnh hưởng.

JokerSpy được tạo bằng ngôn ngữ lập trình Python. Nó thể hiện một loạt các chức năng độc hại và bộ công cụ toàn diện của nó cho phép nó không chỉ ăn cắp dữ liệu riêng tư mà còn tải xuống và thực thi các tệp độc hại bổ sung. Kết quả là, nạn nhân có thể phải chịu thiệt hại tiềm ẩn lớn hơn.

Thật thú vị, JokerSpy tận dụng một công cụ nguồn mở có tên SwiftBelt, ban đầu được tạo cho các chuyên gia bảo mật hợp pháp để đánh giá các lỗ hổng mạng. Việc áp dụng các công cụ hợp pháp cho các mục đích bất chính này thể hiện khả năng thích ứng và sự tinh vi của phần mềm độc hại.

Mặc dù trọng tâm của khám phá này xoay quanh phần mềm độc hại Mac, nhưng điều đáng chú ý là các nhà nghiên cứu cũng đã phát hiện ra các yếu tố cho thấy sự tồn tại của các biến thể JokerSpy dành cho nền tảng Windows và Linux. Điều này cho thấy rằng những người tạo ra JokerSpy đã phát triển các phiên bản nhắm mục tiêu đến các hệ điều hành phổ biến này, từ đó mở rộng phạm vi tiếp cận và tác động tiềm năng của chúng trên nhiều nền tảng.

JokerSpy bỏ qua các biện pháp bảo vệ bảo mật của MacOS

Tác nhân đe dọa không xác định đằng sau JokerSpy đã được quan sát thấy sử dụng một kỹ thuật để phá vỡ các biện pháp bảo vệ Tính minh bạch, Sự đồng ý và Kiểm soát (TCC) của macOS. Thông thường, chúng sẽ yêu cầu sự cho phép rõ ràng của người dùng đối với các ứng dụng để truy cập các tài nguyên nhạy cảm trên máy Mac, chẳng hạn như ổ cứng và danh bạ hoặc khả năng ghi lại màn hình.

Để đạt được mục tiêu của mình, những kẻ đe dọa đã thay thế cơ sở dữ liệu TCC hiện có bằng cơ sở dữ liệu của chúng, nhằm mục đích ngăn chặn mọi cảnh báo thường được kích hoạt khi phần mềm độc hại JokerSpy được thực thi. Các cuộc tấn công trước đây đã chứng minh rằng các tác nhân đe dọa có thể khai thác các lỗ hổng trong các biện pháp bảo vệ TCC để vượt qua chúng thành công.

Trong trường hợp cụ thể này, thành phần thực thi xcc của JokerSpy đóng một vai trò quan trọng trong việc khai thác. Nó thực hiện kiểm tra các quyền TCC, xác định ứng dụng hiện đang hoạt động mà người dùng đang tương tác. Sau đó, nó tiến hành tải xuống và cài đặt sh.py, công cụ chính chịu trách nhiệm chạy phần mềm độc hại JokerSpy.

Bằng cách sử dụng phương pháp này, các tác nhân đe dọa có thể tận dụng lỗ hổng zero-day trong macOS, cấp cho chúng khả năng chụp ảnh màn hình của các thiết bị Mac bị xâm nhập.

Nhiều khả năng đe dọa được tìm thấy trong JokerSpy Backdoor

Khi một hệ thống bị xâm phạm và bị nhiễm JokerSpy, kẻ tấn công sẽ giành được quyền kiểm soát đáng kể đối với hệ thống đó. Các khả năng mà mối đe dọa phần mềm độc hại này thể hiện bao gồm một loạt các chức năng và hành động có thể được thực thi theo các mục tiêu cụ thể của kẻ tấn công.

Các chức năng này bao gồm khả năng tạm dừng việc thực thi cửa hậu JokerSpy có trong thiết bị bị xâm phạm. Ngoài ra, phần mềm độc hại cho phép kẻ tấn công liệt kê các tệp nằm trong một đường dẫn đã chỉ định, thực thi các lệnh shell và truy xuất đầu ra của chúng, điều hướng và thay đổi thư mục cũng như thực thi mã Python trong ngữ cảnh hiện tại.

JokerSpy cũng sở hữu khả năng giải mã mã Python được mã hóa Base64 được cung cấp dưới dạng tham số, biên dịch mã và sau đó thực thi mã đó trong hệ thống bị nhiễm. Ngoài ra, phần mềm độc hại cho phép kẻ tấn công xóa tệp hoặc thư mục khỏi hệ thống bị xâm nhập, thực thi tệp có hoặc không có tham số, tải tệp lên hệ thống bị nhiễm và tải xuống tệp từ hệ thống bị nhiễm.

Những kẻ tấn công cũng có thể hướng dẫn JokerSpy truy xuất cấu hình hiện tại của phần mềm độc hại được lưu trữ trong tệp cấu hình. Cấu hình này có thể bị kẻ tấn công truy cập và thao túng để phù hợp với mục tiêu của chúng, vì chúng có thể ghi đè tệp cấu hình hiện có bằng các giá trị mới phù hợp với mục đích xấu của chúng.

Bằng cách thể hiện các chức năng và hành động khác nhau này, JokerSpy cung cấp cho kẻ tấn công một bộ công cụ toàn diện để kiểm soát và thực hiện các hoạt động độc hại trong hệ thống bị xâm nhập. Những khả năng này nhấn mạnh mức độ nghiêm trọng và tác động tiềm ẩn của việc lây nhiễm phần mềm độc hại, đồng thời nhấn mạnh tầm quan trọng của việc triển khai các biện pháp bảo mật mạnh mẽ để ngăn chặn và giảm thiểu các mối đe dọa đó.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...