Ένα νέο και παράξενο κακόβουλο λογισμικό macOS που ονομάζεται”JokerSpy”έχει εντοπιστεί, με την πρώτη γνωστή δημιουργία backdoor του να βρίσκεται σε ανταλλαγή κρυπτογράφησης.
Ενώ οι απειλές Mac είναι σχετικά σπάνιες σε σύγκριση με τα Windows, ο αριθμός των περιπτώσεων όπου ο στόχος είναι το macOS έχει συνεχίσει να αυξάνεται. Σε μια νέα ανακάλυψη, φαίνεται ότι υπάρχει ένα ακόμη κακόβουλο λογισμικό που δημιουργεί backdoor για να προστεθεί στη λίστα των πιθανών απειλών.
Αρχικά αναφέρονται από ερευνητές από το Bitdefender με ανεξάρτητη έρευνα επίσης που πραγματοποιήθηκε από την Elastic Το Security Labs, το κακόβουλο λογισμικό γνωστό ως JokerSpy εξακολουθεί να είναι σχετικά άγνωστο, εν μέρει λόγω έλλειψης δειγμάτων. Μέχρι στιγμής, το BitDefender εργάζεται σε τέσσερα δείγματα συνολικά, ενώ η Eastic επικεντρώθηκε στην παραβίαση ενός «εξέχοντος ιαπωνικού ανταλλακτηρίου κρυπτονομισμάτων».
Στο πλαίσιο της κατασκευής του κακόβουλου λογισμικού, χρησιμοποιεί ένα δυαδικό αρχείο που ονομάζεται”xcc”που περιέχει αρχεία Mach-O για αρχιτεκτονικές x86 Intel και ARM M1, επιτρέποντάς του θεωρητικά να λειτουργεί σε υπολογιστές Intel και Apple Silicon Mac. Το αρχείο ελέγχει για δικαιώματα που διαχειρίζεται το σύστημα Διαφάνειας, Συναίνεσης και Ελέγχου της Apple.
Μετά την αντιγραφή στην υπάρχουσα βάση δεδομένων TCC για να αποφευχθεί ο εντοπισμός, το εκτελέσιμο αρχείο xcc έτρεξε, δημιουργώντας μια κερκόπορτα που βασίζεται σε python πριν συλλέξει πληροφορίες συστήματος που στη συνέχεια αποστέλλονται πίσω στον εισβολέα. Είναι εφικτό να μπορούν να χρησιμοποιηθούν πρόσθετα και άλλα ωφέλιμα φορτία για να εξασφαλίσουν περισσότερο έλεγχο στο σύστημα.
Η παραβίαση στα τέλη Μαΐου ακολούθησε την εγκατάσταση ενός νέου εργαλείου Python την 1η Ιουνίου, το οποίο εκτελούσε ένα εργαλείο απαρίθμησης μετά την εκμετάλλευση που ονομάζεται Swiftbelt.
Με τόσες λίγες περιπτώσεις για εργασία και την πεποίθηση ότι ο χάκερ ανταλλαγής είχε προηγούμενη πρόσβαση στο σύστημα προορισμού, είναι άγνωστο πώς το κακόβουλο λογισμικό θα μπορούσε να είχε εισαχθεί στους Mac-στόχους εκτός του ότι είχαν ήδη κάποια μορφή πρόσβασης.
Είναι επίσης άγνωστο ποιος δημιούργησε το κακόβουλο λογισμικό στην αρχή, αλλά στοχεύοντας ένα ανταλλακτήριο κρυπτονομισμάτων, θα μπορούσε να είναι μια πολύ περίπλοκη επίθεση και όχι μια επίθεση όπου ο μέσος χρήστης θα μπορούσε να πέσει θύματα του.
Η πρόληψη είναι ο τρόπος
Με βάση τα περιορισμένα διαθέσιμα στοιχεία, φαίνεται απίθανο ο μέσος χρήστης Mac να χρειαστεί να αντιμετωπίσει το JokerSpy σε αυτό χρόνο, εξοικονομήστε για στόχους υψηλής αξίας.