Crypto Exchange infecté par un nouveau logiciel malveillant Mac
Un groupe de chercheurs a fait une découverte révolutionnaire en découvrant un logiciel malveillant Mac jusqu'alors inconnu qui a infecté un échange de crypto-monnaie. Ce logiciel malveillant, connu sous le nom de JokerSpy, possède une gamme complète de fonctionnalités, lui permettant de voler des données privées, ainsi que de télécharger et d'exécuter des fichiers nuisibles supplémentaires.
JokerSpy, écrit dans le langage de programmation Python, exploite un outil disponible gratuitement appelé SwiftBelt, généralement utilisé par des professionnels de la sécurité légitimes pour évaluer les vulnérabilités du réseau. La société de sécurité Bitdefender a initialement attiré l'attention du public sur JokerSpy au début du mois. Les analystes de la société ont indiqué que le malware comprend des composants pour Windows et Linux, suggérant que des versions pour ces plates-formes peuvent également exister.
Suite à cette révélation, Elastic, une autre société de sécurité, a signalé que son outil de diagnostic de protection des terminaux avait détecté un fichier binaire nommé xcc, associé à JokerSpy. Bien qu'Elastic n'ait pas révélé l'identité exacte de la victime, ils ont mentionné qu'il s'agissait d'un important échange de crypto-monnaie basé au Japon.
Mode de fonctionnement des logiciels malveillants
Une fois xcc exécuté, l'acteur malveillant non identifié tente de contourner les protections TCC (Transparency Consent and Control) de macOS, qui imposent une autorisation utilisateur explicite pour qu'une application accède à des ressources sensibles telles que le disque dur, les contacts ou l'enregistrement d'écran.
En remplaçant la base de données légitime du TCC par leur propre version, les acteurs de la menace avaient probablement l'intention de supprimer toutes les alertes qui surviendraient généralement lorsque JokerSpy est opérationnel. Les attaques précédentes ont démontré la capacité des acteurs de la menace à exploiter les vulnérabilités des protections TCC pour les contourner. Ces manipulations ont réussi dans des cas similaires.
Malgré une enquête approfondie, les chercheurs n'ont pas encore déterminé la méthode précise d'installation de JokerSpy. Les chercheurs d'Elastic croient fermement que le point d'accès initial de ce malware était un plug-in malveillant ou compromis ou une dépendance tierce qui a permis à l'auteur de la menace d'entrer sans autorisation. Cette hypothèse est conforme aux conclusions de Bitdefender, car ils ont connecté un domaine codé en dur découvert dans une version de la porte dérobée sh.py à une série de tweets concernant un lecteur de code QR macOS infecté contenant une dépendance malveillante. Elastic a également noté que l'acteur menaçant observé avait déjà un accès préexistant à l'échange de crypto-monnaie japonais.
