Криптовалютная биржа заражена новым вредоносным ПО для Mac

Группа исследователей сделала новаторское открытие, обнаружив ранее неизвестное вредоносное ПО для Mac, которое заразило биржу криптовалют. Это вредоносное ПО, известное как JokerSpy, обладает широким спектром возможностей, позволяющих ему похищать личные данные, а также загружать и запускать дополнительные вредоносные файлы.

JokerSpy, написанный на языке программирования Python, использует бесплатно доступный инструмент под названием SwiftBelt, который обычно используется законными специалистами по безопасности для оценки сетевых уязвимостей. Охранная компания Bitdefender впервые привлекла внимание общественности к JokerSpy в начале этого месяца. Аналитики компании указали, что вредоносное ПО включает в себя компоненты как для Windows, так и для Linux, предполагая, что также могут существовать версии для этих платформ.

После этого разоблачения Elastic, еще одна фирма по обеспечению безопасности, сообщила, что их диагностический инструмент защиты конечных точек обнаружил двоичный файл с именем xcc, который связан с JokerSpy. Хотя Elastic не раскрыл точную личность жертвы, они упомянули, что это была известная биржа криптовалют, базирующаяся в Японии.

Режим работы вредоносных программ

После выполнения xcc неизвестный злоумышленник пытается обойти защиту macOS TCC (Transparency Consent and Control), которая требует явного разрешения пользователя для доступа приложения к конфиденциальным ресурсам, таким как жесткий диск, контакты или запись экрана.

Заменив законную базу данных TCC своей собственной версией, злоумышленники, вероятно, намеревались подавить любые оповещения, которые обычно возникают при работе JokerSpy. Предыдущие атаки продемонстрировали способность злоумышленников использовать уязвимости в средствах защиты TCC для их обхода. Эти манипуляции были успешными в подобных случаях.

Несмотря на обширное расследование, исследователям еще предстоит определить точный метод установки JokerSpy. Исследователи Elastic уверены, что исходной точкой доступа для этой вредоносной программы был вредоносный или скомпрометированный плагин или сторонняя зависимость, которая предоставила злоумышленнику несанкционированный доступ. Эта гипотеза согласуется с выводами Bitdefender, поскольку они связали жестко закодированный домен, обнаруженный в версии бэкдора sh.py, с серией твитов о зараженном считывателе QR-кода macOS, содержащем вредоносную зависимость. Elastic также отметил, что у наблюдаемого злоумышленника уже был доступ к японской бирже криптовалют.