A Crypto Exchange új Mac rosszindulatú szoftverrel fertőzött

Kutatók egy csoportja úttörő felfedezést tett azzal, hogy feltárt egy korábban ismeretlen Mac-es kártevőt, amely megfertőzte a kriptovaluta tőzsdét. Ez a JokerSpy néven ismert rosszindulatú szoftver a képességek széles skálájával rendelkezik, lehetővé téve a személyes adatok eltulajdonítását, valamint további káros fájlok letöltését és futtatását.

A Python programozási nyelven írt JokerSpy a SwiftBelt nevű, szabadon elérhető eszközt használja ki, amelyet általában legitim biztonsági szakemberek használnak a hálózati sebezhetőségek felmérésére. A Bitdefender biztonsági cég kezdetben a hónap elején hívta fel a közvélemény figyelmét a JokerSpy-re. A cég elemzői jelezték, hogy a kártevő Windowshoz és Linuxhoz egyaránt tartalmaz komponenseket, ami arra utal, hogy ezekre a platformokra is létezhetnek verziók.

Ezt a feltárást követően az Elastic, egy másik biztonsági cég arról számolt be, hogy diagnosztikai végpontvédelmi eszközük egy xcc nevű bináris fájlt észlelt, amely a JokerSpy-hez kapcsolódik. Bár az Elastic nem fedte fel az áldozat pontos kilétét, megemlítették, hogy egy prominens japán székhelyű kriptovaluta tőzsdéről van szó.

A rosszindulatú programok működési módja

Az xcc végrehajtása után az azonosítatlan fenyegetettség megkísérli megkerülni a macOS TCC (Transparency Consent and Control) védelmét, amely kifejezett felhasználói engedélyt ír elő egy alkalmazás számára, hogy hozzáférjen az érzékeny erőforrásokhoz, például a merevlemezhez, a névjegyekhez vagy a képernyőrögzítéshez.

Azáltal, hogy a legitim TCC-adatbázist saját verziójukkal helyettesítették, a fenyegetés szereplői valószínűleg el akartak tiltani minden olyan riasztást, amely a JokerSpy működése közben jelentkezne. A korábbi támadások bebizonyították, hogy a fenyegetés szereplői képesek kihasználni a TCC-védelem sérülékenységeit azok megkerülésére. Ezek a manipulációk hasonló esetekben sikeresek voltak.

A kiterjedt vizsgálat ellenére a kutatóknak még meg kell határozniuk a JokerSpy telepítésének pontos módszerét. A rugalmas kutatók szilárdan úgy vélik, hogy ennek a rosszindulatú programnak a kezdeti hozzáférési pontja egy rosszindulatú vagy feltört beépülő modul vagy harmadik féltől származó függőség volt, amely lehetővé tette a fenyegetés szereplőjének jogosulatlan belépést. Ez a hipotézis összhangban van a Bitdefender megállapításaival, mivel az sh.py backdoor egyik verziójában felfedezett keménykódolt tartományt összekapcsolták a rosszindulatú függőséget tartalmazó fertőzött macOS QR-kód olvasóval kapcsolatos tweetekkel. Elastic azt is megjegyezte, hogy a megfigyelt fenyegetés szereplőjének már korábban is volt hozzáférése a japán kriptovaluta tőzsdéhez.