Troca de criptografia infectada com o novo malware Mac
Um grupo de pesquisadores fez uma descoberta inovadora ao descobrir um malware para Mac anteriormente desconhecido que infectou uma exchange de criptomoedas. Este software malicioso, conhecido como JokerSpy, possui uma gama abrangente de recursos, permitindo-lhe furtar dados privados, bem como descarregar e executar ficheiros nocivos adicionais.
O JokerSpy, escrito na linguagem de programação Python, explora uma ferramenta disponível gratuitamente chamada SwiftBelt, normalmente utilizada por profissionais de segurança legítimos para avaliar vulnerabilidades de rede. A empresa de segurança Bitdefender inicialmente chamou a atenção do público para o JokerSpy no início deste mês. Analistas da empresa indicaram que o malware inclui componentes para Windows e Linux, sugerindo que também possam existir versões para essas plataformas.
Após essa revelação, a Elastic, outra empresa de segurança, relatou que sua ferramenta de proteção de endpoint de diagnóstico detectou um arquivo binário chamado xcc, que está associado ao JokerSpy. Embora a Elastic não tenha divulgado a identidade exata da vítima, eles mencionaram que era uma importante exchange de criptomoedas com sede no Japão.
Modo de operação do malware
Depois que o xcc é executado, o agente de ameaça não identificado tenta contornar as proteções TCC (Consentimento e Controle de Transparência) do macOS, que exigem permissão explícita do usuário para um aplicativo acessar recursos confidenciais, como disco rígido, contatos ou gravação de tela.
Ao substituir o banco de dados TCC legítimo por sua própria versão, os agentes de ameaças provavelmente pretendiam suprimir quaisquer alertas que normalmente surgiriam quando o JokerSpy estivesse operacional. Ataques anteriores demonstraram a capacidade dos agentes de ameaças de explorar vulnerabilidades nas proteções TCC para contorná-los. Essas manipulações foram bem-sucedidas em casos semelhantes.
Apesar da extensa investigação, os pesquisadores ainda precisam determinar o método preciso de instalação do JokerSpy. Os pesquisadores da Elastic acreditam firmemente que o ponto de acesso inicial para esse malware foi um plug-in malicioso ou comprometido ou uma dependência de terceiros que concedeu ao agente da ameaça entrada não autorizada. Essa hipótese se alinha com as descobertas da Bitdefender, pois eles conectaram um domínio codificado descoberto em uma versão do backdoor sh.py a uma série de tweets sobre um leitor de código macOS QR infectado contendo uma dependência maliciosa. A Elastic também observou que o agente de ameaça observado já tinha acesso pré-existente à exchange japonesa de criptomoedas.
