Scambio di criptovalute infettato da un nuovo malware per Mac
Un gruppo di ricercatori ha fatto una scoperta rivoluzionaria scoprendo un malware per Mac precedentemente sconosciuto che ha infettato un exchange di criptovalute. Questo software dannoso, noto come JokerSpy, possiede una gamma completa di funzionalità, che gli consentono di rubare dati privati, nonché di scaricare ed eseguire file dannosi aggiuntivi.
JokerSpy, scritto nel linguaggio di programmazione Python, sfrutta uno strumento disponibile gratuitamente chiamato SwiftBelt, tipicamente utilizzato da legittimi professionisti della sicurezza per valutare le vulnerabilità della rete. La società di sicurezza Bitdefender ha inizialmente portato JokerSpy all'attenzione del pubblico all'inizio di questo mese. Gli analisti dell'azienda hanno indicato che il malware include componenti sia per Windows che per Linux, suggerendo che potrebbero esistere anche versioni per queste piattaforme.
A seguito di questa rivelazione, Elastic, un'altra società di sicurezza, ha riferito che il loro strumento diagnostico di protezione degli endpoint aveva rilevato un file binario denominato xcc, associato a JokerSpy. Sebbene Elastic non abbia rivelato l'identità esatta della vittima, ha menzionato che si trattava di un importante scambio di criptovalute con sede in Giappone.
Modalità di funzionamento del malware
Una volta eseguito xcc, l'autore della minaccia non identificato tenta di aggirare le protezioni TCC (Transparency Consent and Control) di macOS, che impongono all'utente un'autorizzazione esplicita affinché un'applicazione acceda a risorse sensibili come il disco rigido, i contatti o la registrazione dello schermo.
Sostituendo il legittimo database TCC con la propria versione, gli attori delle minacce probabilmente intendevano sopprimere eventuali avvisi che si sarebbero verificati in genere quando JokerSpy è operativo. Gli attacchi precedenti hanno dimostrato la capacità degli attori delle minacce di sfruttare le vulnerabilità nelle protezioni TCC per aggirarle. Queste manipolazioni hanno avuto successo in casi simili.
Nonostante le approfondite indagini, i ricercatori devono ancora determinare il metodo preciso dell'installazione di JokerSpy. I ricercatori elastici credono fermamente che il punto di accesso iniziale per questo malware fosse un plug-in dannoso o compromesso o una dipendenza di terze parti che ha concesso all'autore della minaccia l'accesso non autorizzato. Questa ipotesi è in linea con i risultati di Bitdefender, in quanto hanno collegato un dominio hardcoded scoperto in una versione della backdoor sh.py a una serie di tweet riguardanti un lettore di codice QR macOS infetto contenente una dipendenza dannosa. Elastic ha anche notato che l'attore della minaccia osservato aveva già un accesso preesistente all'exchange di criptovalute giapponese.
