Krypto-Börse mit neuartiger Mac-Malware infiziert
Eine Gruppe von Forschern hat eine bahnbrechende Entdeckung gemacht, indem sie bisher unbekannte Mac-Malware aufgedeckt hat, die eine Kryptowährungsbörse infiziert hat. Diese als JokerSpy bekannte Schadsoftware verfügt über umfangreiche Funktionen, die es ihr ermöglichen, private Daten zu stehlen sowie weitere schädliche Dateien herunterzuladen und auszuführen.
JokerSpy, geschrieben in der Programmiersprache Python, nutzt ein frei verfügbares Tool namens SwiftBelt aus, das typischerweise von seriösen Sicherheitsexperten zur Bewertung von Netzwerkschwachstellen verwendet wird. Das Sicherheitsunternehmen Bitdefender machte Anfang des Monats erstmals die Öffentlichkeit auf JokerSpy aufmerksam. Analysten des Unternehmens gaben an, dass die Malware Komponenten sowohl für Windows als auch für Linux enthält, was darauf hindeutet, dass möglicherweise auch Versionen für diese Plattformen existieren.
Nach dieser Enthüllung berichtete Elastic, ein anderes Sicherheitsunternehmen, dass sein Diagnose-Endpunktschutztool eine Binärdatei namens xcc entdeckt habe, die mit JokerSpy verknüpft sei. Obwohl Elastic die genaue Identität des Opfers nicht preisgab, erwähnten sie, dass es sich um eine bekannte Kryptowährungsbörse mit Sitz in Japan handelte.
Funktionsweise der Malware
Sobald xcc ausgeführt wird, versucht der nicht identifizierte Bedrohungsakteur, die TCC-Schutzmaßnahmen (Transparency Consent and Control) von macOS zu umgehen, die einer Anwendung eine explizite Benutzererlaubnis für den Zugriff auf vertrauliche Ressourcen wie die Festplatte, Kontakte oder Bildschirmaufzeichnungen vorschreiben.
Durch den Ersatz der legitimen TCC-Datenbank durch ihre eigene Version wollten die Bedrohungsakteure wahrscheinlich alle Warnungen unterdrücken, die normalerweise auftreten würden, wenn JokerSpy betriebsbereit ist. Frühere Angriffe haben die Fähigkeit von Bedrohungsakteuren gezeigt, Schwachstellen im TCC-Schutz auszunutzen, um diese zu umgehen. Diese Manipulationen waren in ähnlichen Fällen erfolgreich.
Trotz umfangreicher Untersuchungen müssen die Forscher die genaue Installationsmethode von JokerSpy noch ermitteln. Die Elastic-Forscher sind der festen Überzeugung, dass der ursprüngliche Zugangspunkt für diese Malware ein bösartiges oder kompromittiertes Plugin oder eine Drittanbieter-Abhängigkeit war, die dem Bedrohungsakteur unbefugten Zugriff gewährte. Diese Hypothese deckt sich mit Erkenntnissen von Bitdefender, die eine fest codierte Domain, die in einer Version der sh.py-Hintertür entdeckt wurde, mit einer Reihe von Tweets über einen infizierten macOS-QR-Code-Reader in Verbindung brachten, der eine bösartige Abhängigkeit enthielt. Elastic stellte außerdem fest, dass der beobachtete Bedrohungsakteur bereits zuvor Zugriff auf die japanische Kryptowährungsbörse hatte.
