Intercambio de criptomonedas es víctima de un devastador y sin precedentes ataque de malware para Mac
En un descubrimiento reciente, los investigadores descubrieron una nueva variedad de malware para Mac que se ha dirigido a un intercambio de criptomonedas, lo que representa una amenaza significativa para la seguridad de los fondos de los usuarios. Este malware sofisticado, llamado JokerSpy, exhibe una amplia gama de capacidades, incluido el robo de datos, la descarga y ejecución de archivos amenazantes y la posible funcionalidad multiplataforma. Escrito en Python, JokerSpy aprovecha SwiftBelt, una herramienta de código abierto inicialmente destinada a pruebas de seguridad legítimas. La exposición inicial de JokerSpy salió a la luz a través de un informe de seguridad, que reveló su existencia y generó inquietudes sobre su posible disponibilidad en las plataformas Windows y Linux. Este desarrollo destaca los desafíos continuos de los intercambios de criptomonedas y la necesidad constante de medidas de seguridad sólidas para protegerse contra las amenazas emergentes.
Tabla de contenido
Anatomía de la amenaza
El malware JokerSpy surgió después de que una herramienta particular de protección de terminales detectara un archivo binario sospechoso llamado xcc. La víctima a la que se dirigía el malware era un conocido intercambio de criptomonedas en Japón. Una vez que apareció el archivo xcc, los piratas informáticos detrás de JokerSpy intentaron eludir las protecciones de seguridad de macOS, conocidas como TCC, que requieren un permiso explícito del usuario para que las aplicaciones accedan a datos y recursos confidenciales. Los actores de amenazas reemplazaron la base de datos TCC existente con la suya propia, probablemente para evitar que aparecieran alertas cuando JokerSpy estaba activo. En ataques anteriores, los piratas informáticos explotaron vulnerabilidades en las protecciones de TCC para eludirlas, y los investigadores han demostrado ataques similares.
El motor principal del malware JokerSpy tiene múltiples funcionalidades de puerta trasera que permiten acciones no autorizadas y brindan control sobre el sistema comprometido. Estas funcionalidades incluyen detener la ejecución de la puerta trasera (sk), enumerar archivos en una ruta específica (l), ejecutar comandos de shell y devolver la salida (c), cambiar el directorio actual y proporcionar la nueva ruta (cd), ejecutar código Python dentro el contexto actual utilizando un parámetro proporcionado (xs), decodificando y ejecutando código Python codificado en Base64 (xsi), eliminando archivos o directorios del sistema (r), ejecutando archivos del sistema con o sin parámetros (e), cargando archivos a el sistema infectado (u), descargar archivos del sistema infectado (d), recuperar la configuración actual del malware del archivo de configuración (g) y anular el archivo de configuración del malware con nuevos valores (w).
Estos comandos permiten que el malware JokerSpy realice varias acciones no autorizadas y ejerza control sobre el sistema comprometido.
Como se informó, una vez que un sistema se ve comprometido e infectado con un malware como JokerSpy, el atacante obtiene un control significativo sobre el sistema. Sin embargo, con una puerta trasera, los atacantes pueden incluso instalar componentes adicionales discretamente y potencialmente ejecutar más exploits, observar las acciones de los usuarios, recopilar credenciales de inicio de sesión o billeteras de criptomonedas y llevar a cabo otras actividades dañinas.
Vector de infección actualmente desconocido
Los investigadores aún no están seguros del método preciso de instalación de JokerSpy. Algunos creen firmemente que el punto de acceso inicial para este malware involucró un complemento inseguro o comprometido o una dependencia de terceros que proporcionó acceso no autorizado al actor de amenazas. Esta teoría se alinea con las observaciones realizadas por los investigadores de Bitdefender, quienes encontraron un dominio codificado en una versión de la puerta trasera sh.py que enlaza con tweets que hablan sobre un lector de códigos QR de macOS infectado con una dependencia insegura. También se señaló que el actor de amenazas observado ya tenía acceso preexistente al intercambio de criptomonedas japonés.
Para identificar la orientación potencial de JokerSpy, las personas pueden buscar indicadores específicos. Estos incluyen hashes criptográficos de diferentes muestras de xcc y sh.py y contacto con dominios, como git-hub[.]me y app.influmarket[.]org. Si bien JokerSpy inicialmente pasó desapercibido para la mayoría de los motores de seguridad, ahora una gama más amplia de motores puede detectarlo. Si bien no hay confirmación de la existencia de versiones para Windows o Linux de JokerSpy, es fundamental tener en cuenta que existe esta posibilidad.
Intercambio de criptomonedas es víctima de un devastador y sin precedentes ataque de malware para Mac capturas de pantalla
