L'échange de crypto-monnaie est victime d'une attaque de logiciels malveillants Mac sans précédent et dévastatrice
Lors d'une découverte récente, des chercheurs ont découvert une nouvelle souche de logiciels malveillants Mac qui a ciblé un échange de crypto-monnaie, posant une menace importante pour la sécurité des fonds des utilisateurs. Ce logiciel malveillant sophistiqué, nommé JokerSpy, présente un large éventail de fonctionnalités, notamment le vol de données, le téléchargement et l'exécution de fichiers menaçants et une fonctionnalité multiplateforme potentielle. Écrit en Python, JokerSpy exploite SwiftBelt, un outil open source initialement destiné aux tests de sécurité légitimes. L'exposition initiale de JokerSpy a été révélée par un rapport de sécurité, révélant son existence et soulevant des inquiétudes quant à sa disponibilité potentielle sur les plates-formes Windows et Linux. Cette évolution met en évidence les défis permanents des échanges de crypto-monnaie et le besoin constant de mesures de sécurité robustes pour se protéger contre les menaces émergentes.
Table des matières
Anatomie de la menace
Le logiciel malveillant JokerSpy est apparu après qu'un outil particulier de protection des terminaux a détecté un fichier binaire suspect appelé xcc. La victime ciblée par le malware était un échange de crypto-monnaie bien connu au Japon. Une fois le fichier xcc apparu, les pirates derrière JokerSpy ont tenté de contourner les protections de sécurité de macOS, connues sous le nom de TCC, qui nécessitent une autorisation explicite de l'utilisateur pour que les applications accèdent aux données et ressources sensibles. Les acteurs de la menace ont remplacé la base de données TCC existante par la leur, susceptible d'empêcher l'apparition d'alertes lorsque JokerSpy était actif. Lors d'attaques précédentes, les pirates ont exploité les vulnérabilités des protections TCC pour les contourner, et les chercheurs ont démontré des attaques similaires.
Le moteur principal du logiciel malveillant JokerSpy possède plusieurs fonctionnalités de porte dérobée qui permettent des actions non autorisées et permettent de contrôler le système compromis. Ces fonctionnalités incluent l'arrêt de l'exécution de la porte dérobée (sk), la liste des fichiers dans un chemin spécifié (l), l'exécution de commandes shell et le retour de la sortie (c), la modification du répertoire actuel et la fourniture du nouveau chemin (cd), l'exécution de code Python dans le contexte actuel à l'aide d'un paramètre fourni (xs), décodage et exécution du code Python encodé en Base64 (xsi), suppression de fichiers ou de répertoires du système (r), exécution de fichiers à partir du système avec ou sans paramètres (e), téléchargement de fichiers vers système infecté (u), en téléchargeant des fichiers depuis le système infecté (d), en récupérant la configuration actuelle du logiciel malveillant à partir du fichier de configuration (g) et en remplaçant le fichier de configuration du logiciel malveillant par de nouvelles valeurs (w).
Ces commandes permettent au logiciel malveillant JokerSpy d'effectuer diverses actions non autorisées et d'exercer un contrôle sur le système compromis.
Comme indiqué, une fois qu'un système est compromis et infecté par un logiciel malveillant comme JokerSpy, l'attaquant acquiert un contrôle significatif sur le système. Avec une porte dérobée, cependant, les attaquants peuvent même installer discrètement des composants supplémentaires et potentiellement exécuter d'autres exploits, observer les actions des utilisateurs, collecter des identifiants de connexion ou des portefeuilles de crypto-monnaie et mener d'autres activités nuisibles.
Vecteur d'infection actuellement inconnu
Les chercheurs ne sont toujours pas certains de la méthode précise d'installation de JokerSpy. Certains croient fermement que le point d'accès initial de ce logiciel malveillant impliquait un plug-in dangereux ou compromis ou une dépendance tierce qui a fourni à l'auteur de la menace un accès non autorisé. Cette théorie est conforme aux observations faites par les chercheurs de Bitdefender, qui ont trouvé un domaine codé en dur dans une version de la porte dérobée sh.py renvoyant à des tweets discutant d'un lecteur de code QR macOS infecté avec une dépendance non sécurisée. Il a également été noté que l'acteur menaçant observé avait déjà un accès préexistant à l'échange de crypto-monnaie japonais.
Pour identifier le ciblage potentiel par JokerSpy, les individus peuvent rechercher des indicateurs spécifiques. Ceux-ci incluent des hachages cryptographiques de différents échantillons de xcc et sh.py et des contacts avec des domaines, tels que git-hub[.]me et app.influmarket[.]org. Alors que JokerSpy est initialement passé inaperçu par la plupart des moteurs de sécurité, une gamme plus large de moteurs peut désormais le détecter. Bien qu'il n'y ait aucune confirmation de l'existence de versions Windows ou Linux de JokerSpy, il est essentiel d'être conscient que cette possibilité existe.
L'échange de crypto-monnaie est victime d'une attaque de logiciels malveillants Mac sans précédent et dévastatrice captures d'écran
