Kryptoutveksling infisert med ny Mac-malware
En gruppe forskere har gjort en banebrytende oppdagelse ved å avdekke tidligere ukjent Mac-malware som har infisert en kryptovalutabørs. Denne ondsinnede programvaren, kjent som JokerSpy, har et omfattende utvalg av funksjoner, som gjør det mulig å stjele private data, samt laste ned og kjøre ytterligere skadelige filer.
JokerSpy, skrevet i programmeringsspråket Python, utnytter et fritt tilgjengelig verktøy kalt SwiftBelt, som vanligvis brukes av legitime sikkerhetseksperter for å vurdere sårbarheter i nettverket. Sikkerhetsselskapet Bitdefender brakte først JokerSpy til offentlighetens oppmerksomhet tidligere denne måneden. Analytikere fra selskapet indikerte at skadelig programvare inkluderer komponenter for både Windows og Linux, noe som tyder på at versjoner for disse plattformene også kan eksistere.
Etter denne avsløringen rapporterte Elastic, et annet sikkerhetsfirma, at deres diagnostiske endepunktbeskyttelsesverktøy hadde oppdaget en binær fil kalt xcc, som er assosiert med JokerSpy. Selv om Elastic ikke avslørte den nøyaktige identiteten til offeret, nevnte de at det var en fremtredende kryptovalutabørs basert i Japan.
Malwares driftsmodus
Når xcc er utført, forsøker den uidentifiserte trusselaktøren å omgå macOSs TCC-beskyttelse (Transparency Consent and Control), som krever eksplisitt brukertillatelse for en applikasjon for å få tilgang til sensitive ressurser som harddisken, kontakter eller skjermopptak.
Ved å erstatte den legitime TCC-databasen med sin egen versjon, hadde trusselaktørene sannsynligvis til hensikt å undertrykke alle varsler som vanligvis oppstår når JokerSpy er i drift. Tidligere angrep har vist trusselaktørers evne til å utnytte sårbarheter i TCC-beskyttelse for å omgå dem. Disse manipulasjonene har vært vellykkede i lignende tilfeller.
Til tross for omfattende undersøkelser, har forskerne ennå ikke bestemt den nøyaktige metoden for JokerSpys installasjon. Elastiske forskere tror sterkt at det første tilgangspunktet for denne skadelige programvaren var en ondsinnet eller kompromittert plugin eller tredjepartsavhengighet som ga trusselaktøren uautorisert adgang. Denne hypotesen stemmer overens med funnene fra Bitdefender, da de koblet et hardkodet domene oppdaget i en versjon av sh.py-bakdøren til en serie tweets angående en infisert macOS QR-kodeleser som inneholder en ondsinnet avhengighet. Elastic bemerket også at den observerte trusselaktøren allerede hadde forhåndseksisterende tilgang til den japanske kryptovalutabørsen.
