Pazar, Eylül 8, 2024
Ana SayfaTeknoloji HaberleriTanınmış kripto para borsasına daha önce görülmemiş Mac kötü amaçlı yazılımı bulaştı

Tanınmış kripto para borsasına daha önce görülmemiş Mac kötü amaçlı yazılımı bulaştı

Tanınmış kripto para borsasına daha önce görülmemiş Mac kötü amaçlı yazılımı bulaştı

Getty Resimleri

Araştırmacılar, daha önce bilinmeyen Mac kötü amaçlı yazılımlarının bir kripto para borsasına bulaştığını keşfettiler. Özel verileri çalma ve yeni kötü amaçlı dosyaları indirip çalıştırma yeteneği de dahil olmak üzere eksiksiz bir yetenek paketi içerir.

JokerSpy adlı kötü amaçlı yazılım, Python programlama dilinde yazılmıştır ve meşru güvenlik profesyonellerinin ağlarını güvenlik açıklarına karşı test etmesi için tasarlanmış SwiftBelt olarak bilinen açık kaynaklı bir araçtan yararlanır. JokerSpy ilk olarak bu ayın başlarında güvenlik firması Bitdefender’ın bu gönderisinde gün ışığına çıktı. Şirket araştırmacıları, Windows ve Linux bileşenlerini belirlediklerini söyleyerek, bu platformlar için de sürümlerin mevcut olduğunu öne sürdüler.

Beş gün sonra, güvenlik firması Elastic araştırmacıları, sattıkları teşhis uç nokta koruma aracının, JokerSpy’ın bir parçası olan bir ikili dosya olan xcc’yi tespit ettiğini bildirdi. Elastic, “önde gelen bir Japon kripto para borsası” olduğunu söylemek dışında kurbanın kimliğini açıklamadı.

xcc çalıştırıldıktan sonra, bilinmeyen tehdit aktörü, bir uygulamanın Mac’in sabit diskine, kişilerine ve diğer hassas kaynaklarına erişebilmesi veya ekranını kaydedebilmesi için bir kullanıcının açık iznini gerektiren, macOS’ta sözde TCC korumalarını atlamaya çalıştı.

Tehdit aktörleri, mevcut TCC veri tabanını kendi veritabanıyla değiştirerek, JokerSpy çalıştığında normalde görünecek olan uyarıları muhtemelen bastırmaya çalışıyorlardı. Geçmiş saldırılarda, tehdit aktörleri, güvenlik açıklarından yararlanarak TCC korumalarını atlayabilmiştir. Araştırmacılar aynı şeyi yapabilen saldırılar da gösterdiler.

Tehdit aktörü bir TCC veri tabanı oluşturuyor/değiştiriyor ve taşıyor ve ardından xcc'yi yürütüyor.

Tehdit aktörü bir TCC veri tabanı oluşturuyor/değiştiriyor ve taşıyor ve ardından xcc’yi yürütüyor.

Elastik

Yürütülebilir xcc dosyası, TCC izinlerini kontrol eder ve kullanıcının şu anda etkileşimde bulunduğu uygulamayı tanımlar. Ardından, JokerSpy kötü amaçlı yazılımının ana motoru olan sh.py’yi indirir ve yükler. Aşağıdakiler de dahil olmak üzere olağan arka kapı yeteneklerini içerir:

Emretmek Tanım
sk Arka kapının yürütülmesini durdurun
ben Parametre olarak sağlanan yolun dosyalarını listeleyin
C Bir kabuk komutunun çıktısını yürütün ve döndürün
CD Dizini değiştir ve yeni yolu döndür
xs Geçerli bağlamda parametre olarak verilen bir Python kodunu yürütün
xsi Parametre olarak verilen Base64 kodlu bir Python kodunun kodunu çözün, derleyin ve ardından yürütün
R Sistemden bir dosya veya dizini kaldırma
e Parametreli veya parametresiz sistemden bir dosya yürütün
sen Virüslü sisteme bir dosya yükleyin
D Virüs bulaşmış sistemden bir dosya indirin
G Yapılandırma dosyasında saklanan mevcut kötü amaçlı yazılımın yapılandırmasını alın
w Kötü amaçlı yazılımın yapılandırma dosyasını yeni değerlerle geçersiz kıl

macOS güvenlik firması Intego’dan araştırmacılar Cuma günü “Bir sistemin güvenliği ihlal edildiğinde ve JokerSpy gibi kötü amaçlı yazılım bulaştığında, saldırgan sistem üzerinde etkin bir şekilde büyük bir kontrole sahip olur” diye yazdı. “Bir arka kapı ile, saldırganlar arka planda ek bileşenler yükleyebilir ve potansiyel olarak daha fazla istismar gerçekleştirebilir, kullanıcıların davranışlarını izleyebilir, oturum açma kimlik bilgilerini veya kripto para cüzdanlarını çalabilir ve daha fazlasını yapabilir.”

Araştırmacılar hala JokerSpy’ın nasıl kurulduğundan emin değiller. Elastic araştırmacıları, “bu kötü amaçlı yazılımın ilk erişiminin, tehdit aktörüne erişim sağlayan kötü amaçlı veya arka kapılı bir eklenti veya 3. taraf bağımlılığı olduğuna kesinlikle inandıklarını” söyledi. Bu teori, Bitdefender’daki sh.py arka kapısının bir sürümünde bulunan sabit kodlanmış bir alanı bir tweet dizisi kötü amaçlı bir bağımlılığa sahip olduğu tespit edilen virüslü bir macOS QR kod okuyucu hakkında. Elastic ayrıca gözlemlediği tehdit aktörünün Japon kripto para borsasına zaten “mevcut erişimi” olduğunu söyledi.

Yukarıda bağlantısı verilen gönderiler, insanların JokerSpy tarafından hedef alınıp alınmadığını belirlemek için kullanabilecekleri çeşitli göstergeleri listeler. Çeşitli xcc ve sh.py örneklerinin kriptografik özetlerinin yanı sıra göstergeler, git-hub’daki etki alanlarıyla iletişimi içerir[.]ben ve app.influmarket[.]org. Kötü amaçlı yazılım ilk ortaya çıktığında, JokerSpy antivirüs motorlarının büyük çoğunluğu tarafından tespit edilemese de, şimdi çok daha geniş bir motor grubu onu tanımlayabiliyor. JokerSpy’ın Windows veya Linux sürümlerinin var olduğuna dair bir onay olmasa da, insanlar bunun belirgin bir olasılık olduğunun farkında olmalıdır.

RELATED ARTICLES

Popüler Konular