Giełda kryptowalut zainfekowana nowym złośliwym oprogramowaniem dla komputerów Mac

Grupa badaczy dokonała przełomowego odkrycia, odkrywając nieznane wcześniej złośliwe oprogramowanie dla komputerów Mac, które zainfekowało giełdę kryptowalut. To złośliwe oprogramowanie, znane jako JokerSpy, posiada szeroki zakres możliwości umożliwiających kradzież prywatnych danych, a także pobieranie i uruchamianie dodatkowych szkodliwych plików.

JokerSpy, napisany w języku programowania Python, wykorzystuje ogólnodostępne narzędzie o nazwie SwiftBelt, zwykle używane przez legalnych specjalistów ds. Bezpieczeństwa do oceny luk w zabezpieczeniach sieci. Firma ochroniarska Bitdefender początkowo zwróciła uwagę opinii publicznej na JokerSpy na początku tego miesiąca. Analitycy firmy wskazali, że złośliwe oprogramowanie zawiera komponenty zarówno dla systemu Windows, jak i Linux, co sugeruje, że mogą istnieć również wersje dla tych platform.

Po tym odkryciu, Elastic, inna firma zajmująca się bezpieczeństwem, poinformowała, że ich diagnostyczne narzędzie do ochrony punktów końcowych wykryło plik binarny o nazwie xcc, który jest powiązany z JokerSpy. Chociaż Elastic nie ujawnił dokładnej tożsamości ofiary, wspomniał, że była to znana giełda kryptowalut z siedzibą w Japonii.

Tryb działania złośliwego oprogramowania

Po wykonaniu xcc niezidentyfikowany aktor próbuje obejść zabezpieczenia TCC (Transparency Consent and Control) systemu macOS, które wymagają wyraźnej zgody użytkownika dla aplikacji na dostęp do wrażliwych zasobów, takich jak dysk twardy, kontakty lub nagrywanie ekranu.

Zastępując legalną bazę danych TCC własną wersją, cyberprzestępcy prawdopodobnie zamierzali ukryć wszelkie alerty, które zwykle pojawiałyby się, gdy JokerSpy działa. Poprzednie ataki wykazały zdolność cyberprzestępców do wykorzystywania luk w zabezpieczeniach TCC w celu ich obejścia. Te manipulacje były skuteczne w podobnych przypadkach.

Pomimo szeroko zakrojonych badań, badacze nie ustalili jeszcze dokładnej metody instalacji JokerSpy. Badacze firmy Elastic są głęboko przekonani, że początkowym punktem dostępu dla tego złośliwego oprogramowania była złośliwa lub zagrożona wtyczka lub zależność strony trzeciej, która umożliwiła atakującemu nieautoryzowany dostęp. Ta hipoteza jest zgodna z ustaleniami firmy Bitdefender, która połączyła zakodowaną na stałe domenę wykrytą w wersji backdoora sh.py z serią tweetów dotyczących zainfekowanego czytnika kodów QR systemu macOS zawierającego złośliwą zależność. Firma Elastic zauważyła również, że obserwowany cyberprzestępca miał już wcześniej dostęp do japońskiej giełdy kryptowalut.