Kryptoutbyte infekterad med ny Mac-malware
En grupp forskare har gjort en banbrytande upptäckt genom att avslöja tidigare okänd skadlig programvara för Mac som har infekterat en kryptovalutabörs. Denna skadliga programvara, känd som JokerSpy, har ett omfattande utbud av möjligheter, vilket gör att den kan stjäla privata data, samt ladda ner och köra ytterligare skadliga filer.
JokerSpy, skrivet i programmeringsspråket Python, utnyttjar ett fritt tillgängligt verktyg som heter SwiftBelt, som vanligtvis används av legitima säkerhetspersonal för att bedöma nätverkssårbarheter. Säkerhetsföretaget Bitdefender uppmärksammade först JokerSpy på allmänheten tidigare denna månad. Analytiker från företaget indikerade att skadlig programvara inkluderar komponenter för både Windows och Linux, vilket tyder på att versioner för dessa plattformar också kan finnas.
Efter detta avslöjande rapporterade Elastic, ett annat säkerhetsföretag, att deras diagnostiska slutpunktsskyddsverktyg hade upptäckt en binär fil med namnet xcc, som är associerad med JokerSpy. Även om Elastic inte avslöjade den exakta identiteten på offret, nämnde de att det var en framstående kryptovalutabörs baserad i Japan.
Malwares funktionssätt
När xcc har körts försöker den oidentifierade hotaktören kringgå macOS:s TCC-skydd (Transparency Consent and Control), som kräver uttrycklig användartillstånd för ett program att få åtkomst till känsliga resurser som hårddisken, kontakter eller skärminspelning.
Genom att ersätta den legitima TCC-databasen med sin egen version avsåg hotaktörerna troligen att undertrycka alla varningar som vanligtvis skulle uppstå när JokerSpy är i drift. Tidigare attacker har visat förmågan hos hotaktörer att utnyttja sårbarheter i TCC-skydd för att kringgå dem. Dessa manipulationer har varit framgångsrika i liknande fall.
Trots omfattande undersökningar har forskare ännu inte fastställt den exakta metoden för JokerSpys installation. Elastic-forskare är övertygade om att den initiala åtkomstpunkten för denna skadliga programvara var en skadlig eller komprometterad plugin eller tredjepartsberoende som gav hotaktören obehörigt inträde. Denna hypotes överensstämmer med fynden från Bitdefender, då de kopplade en hårdkodad domän som upptäckts i en version av sh.py-bakdörren till en serie tweets angående en infekterad macOS QR-kodläsare som innehåller ett skadligt beroende. Elastic noterade också att den observerade hotaktören redan hade befintlig tillgång till den japanska kryptovalutabörsen.
