Crypto Exchange μολύνθηκε με νέο κακόβουλο λογισμικό Mac

Μια ομάδα ερευνητών έκανε μια πρωτοποριακή ανακάλυψη αποκαλύπτοντας προηγουμένως άγνωστο κακόβουλο λογισμικό Mac που έχει μολύνει μια ανταλλαγή κρυπτονομισμάτων. Αυτό το κακόβουλο λογισμικό, γνωστό ως JokerSpy, διαθέτει ένα ευρύ φάσμα δυνατοτήτων, που του επιτρέπουν να κλέβει προσωπικά δεδομένα, καθώς και να κατεβάζει και να εκτελεί πρόσθετα επιβλαβή αρχεία.

Το JokerSpy, γραμμένο στη γλώσσα προγραμματισμού Python, εκμεταλλεύεται ένα ελεύθερα διαθέσιμο εργαλείο που ονομάζεται SwiftBelt, το οποίο συνήθως χρησιμοποιείται από νόμιμους επαγγελματίες ασφαλείας για την αξιολόγηση των τρωτών σημείων του δικτύου. Η εταιρεία ασφαλείας Bitdefender έφερε αρχικά την προσοχή του κοινού στο JokerSpy νωρίτερα αυτό το μήνα. Αναλυτές από την εταιρεία ανέφεραν ότι το κακόβουλο λογισμικό περιλαμβάνει στοιχεία τόσο για Windows όσο και για Linux, υποδηλώνοντας ότι ενδέχεται να υπάρχουν και εκδόσεις για αυτές τις πλατφόρμες.

Μετά από αυτή την αποκάλυψη, η Elastic, μια άλλη εταιρεία ασφαλείας, ανέφερε ότι το διαγνωστικό εργαλείο προστασίας τελικού σημείου της είχε εντοπίσει ένα δυαδικό αρχείο με το όνομα xcc, το οποίο σχετίζεται με το JokerSpy. Αν και η Elastic δεν αποκάλυψε την ακριβή ταυτότητα του θύματος, ανέφερε ότι ήταν ένα εξέχον ανταλλακτήριο κρυπτονομισμάτων με έδρα την Ιαπωνία.

Τρόπος λειτουργίας κακόβουλου λογισμικού

Μόλις εκτελεστεί το xcc, ο μη αναγνωρισμένος παράγοντας απειλής επιχειρεί να παρακάμψει τις προστασίες TCC (Transparency Consent and Control) του macOS, οι οποίες απαιτούν ρητή άδεια χρήστη για μια εφαρμογή για πρόσβαση σε ευαίσθητους πόρους, όπως ο σκληρός δίσκος, οι επαφές ή η εγγραφή οθόνης.

Αντικαθιστώντας τη νόμιμη βάση δεδομένων TCC με τη δική τους έκδοση, οι φορείς απειλών πιθανότατα σκόπευαν να καταστείλουν τυχόν ειδοποιήσεις που θα προέκυπταν συνήθως όταν το JokerSpy είναι σε λειτουργία. Προηγούμενες επιθέσεις έχουν δείξει την ικανότητα των παραγόντων απειλής να εκμεταλλεύονται ευπάθειες στις προστασίες TCC για να τις παρακάμψουν. Αυτοί οι χειρισμοί ήταν επιτυχείς σε παρόμοιες περιπτώσεις.

Παρά την εκτεταμένη έρευνα, οι ερευνητές δεν έχουν ακόμη καθορίσει την ακριβή μέθοδο εγκατάστασης του JokerSpy. Οι ερευνητές της Elastic πιστεύουν ακράδαντα ότι το αρχικό σημείο πρόσβασης για αυτό το κακόβουλο λογισμικό ήταν μια κακόβουλη ή παραβιασμένη προσθήκη ή εξάρτηση από τρίτο μέρος που παρείχε στον παράγοντα απειλής μη εξουσιοδοτημένη είσοδο. Αυτή η υπόθεση ευθυγραμμίζεται με τα ευρήματα του Bitdefender, καθώς συνέδεσαν έναν τομέα με σκληρό κώδικα που ανακαλύφθηκε σε μια έκδοση του backdoor sh.py με μια σειρά από tweets σχετικά με ένα μολυσμένο πρόγραμμα ανάγνωσης κώδικα macOS QR που περιέχει μια κακόβουλη εξάρτηση. Η Elastic σημείωσε επίσης ότι ο παρατηρούμενος παράγοντας απειλής είχε ήδη προϋπάρχουσα πρόσβαση στο ιαπωνικό ανταλλακτήριο κρυπτονομισμάτων.