Intercambio criptográfico infectado con malware novedoso para Mac
Un grupo de investigadores ha hecho un descubrimiento innovador al descubrir un malware para Mac previamente desconocido que ha infectado un intercambio de criptomonedas. Este software malicioso, conocido como JokerSpy, posee una amplia gama de capacidades, lo que le permite sustraer datos privados, así como descargar y ejecutar archivos dañinos adicionales.
JokerSpy, escrito en el lenguaje de programación Python, explota una herramienta disponible gratuitamente llamada SwiftBelt, que suelen utilizar los profesionales de seguridad legítimos para evaluar las vulnerabilidades de la red. La compañía de seguridad Bitdefender inicialmente llamó la atención del público sobre JokerSpy a principios de este mes. Analistas de la empresa indicaron que el malware incluye componentes tanto para Windows como para Linux, lo que sugiere que también pueden existir versiones para estas plataformas.
Tras esta revelación, Elastic, otra empresa de seguridad, informó que su herramienta de diagnóstico de protección de puntos finales había detectado un archivo binario llamado xcc, que está asociado con JokerSpy. Aunque Elastic no reveló la identidad exacta de la víctima, mencionaron que se trataba de un importante intercambio de criptomonedas con sede en Japón.
Modo de funcionamiento del malware
Una vez que se ejecuta xcc, el actor de amenazas no identificado intenta eludir las protecciones TCC (Transparency Consent and Control) de macOS, que exigen el permiso explícito del usuario para que una aplicación acceda a recursos confidenciales como el disco duro, los contactos o la grabación de pantalla.
Al sustituir la base de datos TCC legítima con su propia versión, los actores de la amenaza probablemente intentaron suprimir cualquier alerta que normalmente surgiría cuando JokerSpy está operativo. Los ataques anteriores han demostrado la capacidad de los actores de amenazas para explotar las vulnerabilidades en las protecciones de TCC para eludirlas. Estas manipulaciones han tenido éxito en casos similares.
A pesar de una extensa investigación, los investigadores aún tienen que determinar el método preciso de instalación de JokerSpy. Los investigadores de Elastic creen firmemente que el punto de acceso inicial para este malware fue un complemento malicioso o comprometido o una dependencia de terceros que otorgó la entrada no autorizada al actor de amenazas. Esta hipótesis se alinea con los hallazgos de Bitdefender, ya que conectaron un dominio codificado descubierto en una versión de la puerta trasera sh.py a una serie de tweets sobre un lector de código QR de macOS infectado que contenía una dependencia maliciosa. Elastic también señaló que el actor de amenazas observado ya tenía acceso preexistente al intercambio de criptomonedas japonés.
