„Crypto Exchange“ užkrėstas nauja „Mac“ kenkėjiška programa
Grupė tyrėjų padarė novatorišką atradimą, atskleidusi anksčiau nežinomą „Mac“ kenkėjišką programą, užkrėtusią kriptovaliutų biržą. Ši kenkėjiška programinė įranga, žinoma kaip JokerSpy, turi daugybę galimybių, leidžiančių grobti privačius duomenis, taip pat atsisiųsti ir vykdyti papildomus kenksmingus failus.
JokerSpy, parašytas Python programavimo kalba, naudoja laisvai prieinamą įrankį SwiftBelt, kurį paprastai naudoja teisėti saugos specialistai tinklo pažeidžiamumui įvertinti. Apsaugos įmonė „Bitdefender“ iš pradžių šį mėnesį atkreipė visuomenės dėmesį į „JokerSpy“. Bendrovės analitikai nurodė, kad kenkėjiška programinė įranga apima tiek Windows, tiek Linux komponentus, o tai rodo, kad gali būti ir šių platformų versijų.
Po šio apreiškimo Elastic, kita saugos įmonė, pranešė, kad jų diagnostikos galutinio taško apsaugos įrankis aptiko dvejetainį failą, pavadintą xcc, kuris yra susijęs su JokerSpy. Nors „Elastic“ neatskleidė tikslios aukos tapatybės, jie paminėjo, kad tai buvo garsi kriptovaliutų birža, įsikūrusi Japonijoje.
Kenkėjiškos programos veikimo režimas
Įvykdžius xcc, nenustatytas grėsmės veikėjas bando apeiti „macOS“ TCC (angl. Transparency Consent and Control) apsaugą, kuri įpareigoja aiškų vartotojo leidimą programai pasiekti jautrius išteklius, tokius kaip standusis diskas, kontaktai ar ekrano įrašas.
Pakeisdami teisėtą TCC duomenų bazę savo versija, grėsmės veikėjai tikriausiai ketino nuslopinti visus įspėjimus, kurie paprastai kiltų, kai JokerSpy veikia. Ankstesnės atakos parodė, kad grėsmės veikėjai gali išnaudoti TCC apsaugos spragas, kad jas apeitų. Šios manipuliacijos buvo sėkmingos panašiais atvejais.
Nepaisant išsamaus tyrimo, mokslininkai dar turi nustatyti tikslų JokerSpy diegimo metodą. Elastingi tyrinėtojai tvirtai tiki, kad pradinis šios kenkėjiškos programos prieigos taškas buvo kenkėjiškas arba pažeistas papildinys arba trečiosios šalies priklausomybė, suteikusi grėsmės veikėjui neteisėtą įėjimą. Ši hipotezė sutampa su „Bitdefender“ išvadomis, nes jie sujungė užkoduotą domeną, aptiktą sh.py backdoor versijoje, su tviterio žinutėmis, susijusiomis su užkrėstu „macOS“ QR kodo skaitytuvu, turinčiu kenkėjišką priklausomybę. Elastic taip pat pažymėjo, kad pastebėtas grėsmės veikėjas jau turėjo prieigą prie Japonijos kriptovaliutų biržos.
