Kryptowährungsbörse wird Opfer eines beispiellosen und verheerenden Mac-Malware-Angriffs
In einer aktuellen Entdeckung haben Forscher eine neue Art von Mac-Malware entdeckt, die es auf einen Kryptowährungsaustausch abgesehen hat und eine erhebliche Bedrohung für die Sicherheit der Gelder der Benutzer darstellt. Diese hochentwickelte Malware mit dem Namen JokerSpy verfügt über ein breites Spektrum an Fähigkeiten, darunter Datendiebstahl, das Herunterladen und Ausführen bedrohlicher Dateien sowie potenzielle plattformübergreifende Funktionalität. JokerSpy ist in Python geschrieben und nutzt SwiftBelt, ein Open-Source-Tool, das ursprünglich für legitime Sicherheitstests gedacht war. Die erste Offenlegung von JokerSpy wurde durch einen Sicherheitsbericht ans Licht gebracht, der seine Existenz enthüllte und Bedenken hinsichtlich seiner möglichen Verfügbarkeit auf Windows- und Linux-Plattformen aufkommen ließ. Diese Entwicklung verdeutlicht die anhaltenden Herausforderungen des Kryptowährungsaustauschs und den ständigen Bedarf an robusten Sicherheitsmaßnahmen zum Schutz vor neuen Bedrohungen.
Inhaltsverzeichnis
Anatomie der Bedrohung
Die JokerSpy-Malware tauchte auf, nachdem ein bestimmtes Endpoint-Schutz-Tool eine verdächtige Binärdatei namens xcc entdeckt hatte. Das Opfer der Malware war eine bekannte Kryptowährungsbörse in Japan. Nachdem die xcc-Datei aufgetaucht war, versuchten die Hacker hinter JokerSpy, den Sicherheitsschutz von macOS, bekannt als TCC, zu umgehen, der eine ausdrückliche Benutzererlaubnis für Anwendungen erfordert, um auf sensible Daten und Ressourcen zuzugreifen. Die Bedrohungsakteure ersetzten die bestehende TCC-Datenbank durch ihre eigene, um wahrscheinlich zu verhindern, dass Warnungen angezeigt wurden, wenn JokerSpy aktiv war. Bei früheren Angriffen nutzten Hacker Schwachstellen im TCC-Schutz aus, um diese zu umgehen, und Forscher haben ähnliche Angriffe nachgewiesen.
Die Hauptmaschine der JokerSpy-Malware verfügt über mehrere Backdoor-Funktionen, die unbefugte Aktionen ermöglichen und die Kontrolle über das kompromittierte System ermöglichen. Zu diesen Funktionen gehören das Stoppen der Ausführung der Hintertür (sk), das Auflisten von Dateien in einem angegebenen Pfad (l), das Ausführen von Shell-Befehlen und die Rückgabe von Ausgaben (c), das Ändern des aktuellen Verzeichnisses und das Bereitstellen des neuen Pfads (cd) sowie das Ausführen von Python-Code darin den aktuellen Kontext mithilfe eines bereitgestellten Parameters (xs), Dekodieren und Ausführen von Base64-codiertem Python-Code (xsi), Entfernen von Dateien oder Verzeichnissen aus dem System (r), Ausführen von Dateien aus dem System mit oder ohne Parameter (e), Hochladen von Dateien auf das infizierte System (u), Herunterladen von Dateien vom infizierten System (d), Abrufen der aktuellen Konfiguration der Malware aus der Konfigurationsdatei (g) und Überschreiben der Konfigurationsdatei der Malware mit neuen Werten (w).
Diese Befehle ermöglichen es der JokerSpy-Malware, verschiedene nicht autorisierte Aktionen auszuführen und die Kontrolle über das kompromittierte System auszuüben.
Wie berichtet, erlangt der Angreifer erhebliche Kontrolle über das System, sobald ein System kompromittiert und mit einer Malware wie JokerSpy infiziert wird. Mit einer Hintertür können Angreifer jedoch sogar unbemerkt weitere Komponenten installieren und möglicherweise weitere Exploits ausführen, Benutzeraktionen beobachten, Anmeldedaten oder Kryptowährungs-Wallets sammeln und andere schädliche Aktivitäten ausführen.
Infektionsvektor derzeit unbekannt
Die Forscher sind sich immer noch nicht sicher, wie JokerSpy genau installiert wurde. Einige sind der festen Überzeugung, dass der ursprüngliche Zugangspunkt für diese Malware ein unsicheres oder kompromittiertes Plugin oder eine Abhängigkeit von einem Drittanbieter war, die dem Bedrohungsakteur unbefugten Zugriff verschaffte. Diese Theorie deckt sich mit Beobachtungen von Bitdefender-Forschern, die eine fest codierte Domain in einer Version der sh.py-Hintertür gefunden haben, die auf Tweets verlinkt, in denen ein infizierter macOS-QR-Code-Reader mit einer unsicheren Abhängigkeit diskutiert wird. Es wurde auch darauf hingewiesen, dass der beobachtete Bedrohungsakteur bereits zuvor Zugriff auf die japanische Kryptowährungsbörse hatte.
Um potenzielle Angriffe von JokerSpy zu erkennen, können Einzelpersonen nach bestimmten Indikatoren suchen. Dazu gehören kryptografische Hashes verschiedener xcc- und sh.py-Beispiele sowie der Kontakt mit Domänen wie git-hub[.]me und app.influmarket[.]org. Während JokerSpy zunächst von den meisten Sicherheits-Engines unbemerkt blieb, kann es mittlerweile von einer breiteren Palette von Engines erkannt werden. Obwohl es keine Bestätigung für die Existenz von Windows- oder Linux-Versionen von JokerSpy gibt, ist es wichtig, sich darüber im Klaren zu sein, dass diese Möglichkeit besteht.
Kryptowährungsbörse wird Opfer eines beispiellosen und verheerenden Mac-Malware-Angriffs Screenshots
