Kryptoudveksling inficeret med ny Mac-malware
En gruppe forskere har gjort en banebrydende opdagelse ved at afsløre tidligere ukendt Mac-malware, der har inficeret en kryptovalutabørs. Denne ondsindede software, kendt som JokerSpy, besidder en omfattende række af muligheder, som gør den i stand til at stjæle private data, samt downloade og udføre yderligere skadelige filer.
JokerSpy, skrevet i Python-programmeringssproget, udnytter et frit tilgængeligt værktøj kaldet SwiftBelt, der typisk bruges af legitime sikkerhedseksperter til at vurdere netværkssårbarheder. Sikkerhedsfirmaet Bitdefender bragte oprindeligt JokerSpy til offentlighedens opmærksomhed tidligere på måneden. Analytikere fra virksomheden indikerede, at malwaren inkluderer komponenter til både Windows og Linux, hvilket tyder på, at versioner til disse platforme også kan eksistere.
Efter denne afsløring rapporterede Elastic, et andet sikkerhedsfirma, at deres diagnostiske endepunktsbeskyttelsesværktøj havde opdaget en binær fil ved navn xcc, som er forbundet med JokerSpy. Selvom Elastic ikke afslørede offerets nøjagtige identitet, nævnte de, at det var en fremtrædende cryptocurrency-børs baseret i Japan.
Malwares funktionsmåde
Når xcc er eksekveret, forsøger den uidentificerede trusselsaktør at omgå macOS's TCC-beskyttelse (Transparency Consent and Control), som kræver eksplicit brugertilladelse for en applikation til at få adgang til følsomme ressourcer såsom harddisken, kontakter eller skærmoptagelse.
Ved at erstatte den legitime TCC-database med deres egen version, havde trusselsaktørerne sandsynligvis til hensigt at undertrykke alle advarsler, der typisk ville opstå, når JokerSpy er operationel. Tidligere angreb har vist trusselsaktørers evne til at udnytte sårbarheder i TCC-beskyttelse til at omgå dem. Disse manipulationer har været succesfulde i lignende tilfælde.
På trods af omfattende undersøgelser har forskerne endnu ikke fastlagt den præcise metode til JokerSpys installation. Elastic-forskere er overbevist om, at det oprindelige adgangspunkt til denne malware var et ondsindet eller kompromitteret plugin eller tredjepartsafhængighed, der gav trusselsaktøren uautoriseret adgang. Denne hypotese stemmer overens med resultaterne fra Bitdefender, da de forbandt et hårdkodet domæne opdaget i en version af sh.py-bagdøren til en række tweets vedrørende en inficeret macOS QR-kodelæser indeholdende en ondsindet afhængighed. Elastic bemærkede også, at den observerede trusselsaktør allerede havde eksisterende adgang til den japanske kryptovalutabørs.
