JokerEspion Porte dérobée

Les chercheurs en cybersécurité ont découvert un malware Mac jusqu'alors inconnu qui a infecté avec succès un échange de crypto-monnaie. Ce logiciel malveillant particulier, appelé JokerSpy, se distingue par sa vaste gamme de fonctionnalités, posant une menace expressive pour la sécurité et la confidentialité des systèmes affectés.

JokerSpy est conçu à l'aide du langage de programmation Python. Il présente un large éventail de fonctionnalités malveillantes et sa suite complète d'outils lui permet non seulement de voler des données privées, mais également de télécharger et d'exécuter des fichiers malveillants supplémentaires. En conséquence, les victimes pourraient subir des dommages potentiels encore plus importants.

Fait intéressant, JokerSpy exploite un outil open source nommé SwiftBelt, créé à l'origine pour les professionnels de la sécurité légitimes afin d'évaluer les vulnérabilités du réseau. Cette adoption d'outils légitimes à des fins néfastes démontre l'adaptabilité et la sophistication du logiciel malveillant.

Bien que l'accent de cette découverte tourne autour des logiciels malveillants Mac, il convient de noter que les chercheurs ont également détecté des éléments indiquant l'existence de variantes de JokerSpy pour les plates-formes Windows et Linux. Cela suggère que les créateurs de JokerSpy ont développé des versions ciblant ces systèmes d'exploitation populaires, élargissant ainsi leur portée et leur impact potentiel sur plusieurs plates-formes.

JokerSpy contourne les protections de sécurité MacOS

Il a été observé que l'acteur de menace non identifié derrière JokerSpy utilise une technique pour contourner les protections macOS Transparency, Consent, and Control (TCC). Normalement, ils auraient besoin d'une autorisation utilisateur explicite pour que les applications accèdent aux ressources sensibles sur un Mac, telles que le disque dur et les contacts ou la possibilité d'enregistrer l'écran.

Pour atteindre leur objectif, les acteurs de la menace ont remplacé la base de données TCC existante par la leur, dans le but de supprimer toutes les alertes qui seraient généralement déclenchées lors de l'exécution du logiciel malveillant JokerSpy. Les attaques précédentes ont démontré que les acteurs de la menace peuvent exploiter les vulnérabilités des protections TCC pour les contourner avec succès.

Dans ce cas particulier, le composant exécutable xcc de JokerSpy joue un rôle crucial dans l'exploit. Il effectue une vérification des autorisations TCC, en déterminant l'application actuellement active avec laquelle l'utilisateur interagissait. Par la suite, il procède au téléchargement et à l'installation de sh.py, le moteur principal responsable de l'exécution du logiciel malveillant JokerSpy.

En utilisant cette méthode, les acteurs de la menace parviennent à tirer parti d'une vulnérabilité zero-day dans macOS, leur permettant de capturer des captures d'écran d'appareils Mac compromis.

Les multiples capacités de menace trouvées dans la porte dérobée JokerSpy

Une fois qu'un système est compromis et infecté par JokerSpy, l'attaquant en acquiert un contrôle significatif. Les capacités présentées par cette menace de malware englobent un large éventail de fonctions et d'actions qui peuvent être exécutées conformément aux objectifs spécifiques des attaquants.

Ces fonctions incluent la possibilité d'arrêter l'exécution de la porte dérobée JokerSpy présente dans l'appareil piraté. De plus, le logiciel malveillant permet à l'attaquant de répertorier les fichiers situés dans un chemin spécifié, d'exécuter des commandes shell et de récupérer leur sortie, de naviguer et de changer de répertoire, et d'exécuter du code Python dans le contexte actuel.

JokerSpy possède également la capacité de décoder le code Python encodé en Base64 fourni en tant que paramètre, de le compiler, puis de l'exécuter dans le système infecté. De plus, le logiciel malveillant permet à l'attaquant de supprimer des fichiers ou des répertoires du système compromis, d'exécuter des fichiers avec ou sans paramètres, de télécharger des fichiers sur le système infecté et de télécharger des fichiers depuis le système infecté.

Les attaquants peuvent également demander à JokerSpy de récupérer la configuration actuelle du malware stockée dans le fichier de configuration. Cette configuration peut être consultée et manipulée par l'attaquant en fonction de ses objectifs, car il peut remplacer le fichier de configuration existant par de nouvelles valeurs correspondant à ses intentions malveillantes.

En présentant ces diverses fonctions et actions, JokerSpy fournit à l'attaquant un ensemble complet d'outils pour exercer un contrôle et mener des activités malveillantes au sein du système compromis. Ces capacités soulignent la gravité et l'impact potentiel des infections par des logiciels malveillants, soulignant l'importance cruciale de la mise en œuvre de mesures de sécurité robustes pour prévenir et atténuer ces menaces.