JokerSpy 后门

通过Mezo在 Mac Malware, Backdoors

翻译为：

网络安全研究人员发现了一种以前未知的 Mac 恶意软件，该恶意软件已成功感染加密货币交易所。这种名为 JokerSpy 的特殊恶意软件因其广泛的功能而脱颖而出，对受影响系统的安全和隐私构成了明显的威胁。

JokerSpy 是使用 Python 编程语言制作的。它具有广泛的恶意功能，其全面的工具套件使其不仅能够窃取私人数据，还能够下载和执行其他恶意文件。结果，受害者可能会遭受更大的潜在损害。

有趣的是，JokerSpy 利用名为 SwiftBelt 的开源工具，该工具最初是为合法的安全专业人员创建的，用于评估网络漏洞。这种出于恶意目的而采用合法工具的行为证明了恶意软件的适应性和复杂性。

虽然这一发现的重点是 Mac 恶意软件，但值得注意的是，研究人员还检测到了表明 Windows 和 Linux 平台上存在 JokerSpy 变体的元素。这表明 JokerSpy 的创建者已经开发了针对这些流行操作系统的版本，从而扩大了其在多个平台上的覆盖范围和潜在影响。

据观察，JokerSpy 背后的身份不明的威胁参与者采用了一种技术来规避 macOS 透明度、同意和控制 (TCC) 保护。通常，它们需要明确的用户许可，应用程序才能访问 Mac 上的敏感资源，例如硬盘驱动器和联系人或录制屏幕的功能。

为了实现他们的目标，威胁行为者用自己的数据库替换了现有的 TCC 数据库，旨在抑制执行 JokerSpy 恶意软件时通常会触发的任何警报。之前的攻击表明，威胁行为者可以利用 TCC 保护中的漏洞成功绕过它们。

在这种特殊情况下，JokerSpy 的 xcc 可执行组件在漏洞利用中发挥着至关重要的作用。它对 TCC 权限进行检查，确定用户正在与之交互的当前活动应用程序。随后，它继续下载并安装 sh.py，这是负责运行 JokerSpy 恶意软件的主要引擎。

通过利用这种方法，威胁参与者设法利用 macOS 中的零日漏洞，使他们能够捕获受感染 Mac 设备的屏幕截图。

一旦系统遭到破坏并被 JokerSpy 感染，攻击者就会获得对其的重大控制权。这种恶意软件威胁所展现的功能涵盖了广泛的功能和操作，可以根据攻击者的特定目标执行这些功能和操作。

这些功能包括停止被破坏设备中存在的 JokerSpy 后门的执行。此外，该恶意软件使攻击者能够列出位于指定路径中的文件、执行 shell 命令并检索其输出、导航和更改目录以及在当前上下文中执行 Python 代码。

JokerSpy 还能够解码作为参数提供的 Base64 编码的 Python 代码、对其进行编译，然后在受感染的系统中执行它。此外，该恶意软件使攻击者能够从受感染的系统中删除文件或目录、带或不带参数执行文件、将文件上传到受感染的系统以及从受感染的系统下载文件。

攻击者还可以指示 JokerSpy 检索配置文件中存储的恶意软件的当前配置。攻击者可以访问和操纵此配置来满足他们的目标，因为他们可以使用符合其恶意意图的新值覆盖现有配置文件。

通过展示这些不同的功能和操作，JokerSpy 为攻击者提供了一套全面的工具，以在受感染的系统中施加控制并执行恶意活动。这些功能强调了恶意软件感染的严重性和潜在影响，强调了实施强大的安全措施来预防和减轻此类威胁的至关重要性。

搜索