Crypto Exchange geïnfecteerd met nieuwe Mac-malware
Een groep onderzoekers heeft een baanbrekende ontdekking gedaan door voorheen onbekende Mac-malware te ontdekken die een cryptocurrency-uitwisseling heeft geïnfecteerd. Deze kwaadaardige software, bekend als JokerSpy, beschikt over een uitgebreid scala aan mogelijkheden, waardoor het privégegevens kan stelen en aanvullende schadelijke bestanden kan downloaden en uitvoeren.
JokerSpy, geschreven in de programmeertaal Python, maakt gebruik van een gratis beschikbare tool genaamd SwiftBelt, meestal gebruikt door legitieme beveiligingsprofessionals voor het beoordelen van netwerkkwetsbaarheden. Het beveiligingsbedrijf Bitdefender bracht JokerSpy eerder deze maand in eerste instantie onder de aandacht van het publiek. Analisten van het bedrijf gaven aan dat de malware componenten voor zowel Windows als Linux bevat, wat suggereert dat er mogelijk ook versies voor deze platforms bestaan.
Na deze onthulling meldde Elastic, een ander beveiligingsbedrijf, dat hun tool voor diagnostische eindpuntbescherming een binair bestand met de naam xcc had gedetecteerd, dat geassocieerd is met JokerSpy. Hoewel Elastic de exacte identiteit van het slachtoffer niet bekendmaakte, vermeldden ze wel dat het een prominente cryptocurrency-uitwisseling in Japan was.
Werkingswijze van malware
Zodra xcc is uitgevoerd, probeert de niet-geïdentificeerde bedreigingsactor de TCC-beveiligingen (Transparency Consent and Control) van macOS te omzeilen, die expliciete gebruikerstoestemming voor een applicatie verplichten om toegang te krijgen tot gevoelige bronnen zoals de harde schijf, contacten of schermopname.
Door de legitieme TCC-database te vervangen door hun eigen versie, wilden de bedreigingsactoren waarschijnlijk alle waarschuwingen onderdrukken die normaal gesproken zouden verschijnen wanneer JokerSpy operationeel is. Eerdere aanvallen hebben aangetoond dat bedreigingsactoren in staat zijn kwetsbaarheden in TCC-beveiligingen te misbruiken om deze te omzeilen. Deze manipulaties zijn in vergelijkbare gevallen succesvol geweest.
Ondanks uitgebreid onderzoek moeten onderzoekers de precieze installatiemethode van JokerSpy nog bepalen. Elastic-onderzoekers zijn er sterk van overtuigd dat het eerste toegangspunt voor deze malware een kwaadwillende of gecompromitteerde plug-in of een afhankelijkheid van derden was die de bedreigingsactor ongeoorloofde toegang verleende. Deze hypothese komt overeen met bevindingen van Bitdefender, aangezien ze een hardgecodeerd domein dat in een versie van de sh.py-achterdeur was ontdekt, verbond met een reeks tweets over een geïnfecteerde macOS QR-codelezer die een kwaadaardige afhankelijkheid bevatte. Elastic merkte ook op dat de geobserveerde dreigingsactor al bestaande toegang had tot de Japanse cryptocurrency-uitwisseling.
