Um novo e estranho malware macOS chamado”JokerSpy”foi identificado, com sua primeira criação conhecida de backdoor atingindo uma troca de criptografia.
Embora as ameaças ao Mac sejam relativamente raras em comparação com o Windows, o número de instâncias em que o macOS é o alvo continuou a crescer. Em uma nova descoberta, parece que há mais um malware criador de backdoor para adicionar à lista de ameaças potenciais.
Inicialmente relatado por pesquisadores da Bitdefender com pesquisa independente também realizada pela Elastic Security Labs, o malware conhecido como JokerSpy ainda é relativamente desconhecido, em parte devido à falta de amostras. Até agora, a BitDefender está trabalhando em quatro amostras no total, enquanto a Eastic se concentrou na violação de uma”proeminente bolsa de criptomoedas japonesa”.
Como parte da construção do malware, ele usa um binário chamado”xcc”que contém arquivos Mach-O para arquiteturas x86 Intel e ARM M1, teoricamente permitindo que ele funcione em Intel e Apple Silicon Macs. O arquivo verifica as permissões gerenciadas pelo sistema de Transparência, Consentimento e Controle da Apple.
Depois de copiar o banco de dados TCC existente para evitar a detecção, o executável xcc foi executado, criando um backdoor baseado em python antes de coletar informações do sistema que são enviadas de volta ao invasor. É possível que plug-ins e outras cargas úteis possam ser empregadas para garantir mais controle sobre o sistema.
A violação no final de maio foi seguida por uma nova ferramenta Python sendo instalada em 1º de junho, executando uma ferramenta de enumeração pós-exploração chamada Swiftbelt.
Com tão poucas instâncias para trabalhar e a crença de que o hacker da exchange tinha acesso anterior ao sistema de destino, não se sabe como o malware poderia ter sido introduzido nos Macs de destino sem já ter alguns forma de acesso.
Também não se sabe quem criou o malware em primeiro lugar, mas ao direcionar uma troca de criptomoedas, pode ser um ataque muito sofisticado, em vez de um em que o usuário médio pode ser vítima dele.
A prevenção é o caminho
Com base nas limitadas evidências disponíveis, parece improvável que o usuário médio de Mac tenha que lidar com o JokerSpy neste momento tempo, economize para alvos de alto valor.
