JokerSpy puerta trasera

Los investigadores de seguridad cibernética han descubierto un malware de Mac previamente desconocido que ha infectado con éxito un intercambio de criptomonedas. Este malware en particular, llamado JokerSpy, se destaca por su amplia gama de capacidades, lo que representa una amenaza expresiva para la seguridad y la privacidad de los sistemas afectados.

JokerSpy está diseñado con el lenguaje de programación Python. Exhibe una amplia gama de funcionalidades maliciosas, y su completo conjunto de herramientas le permite no solo robar datos privados sino también descargar y ejecutar archivos maliciosos adicionales. Como resultado, las víctimas podrían estar sujetas a un daño potencial aún mayor.

Curiosamente, JokerSpy aprovecha una herramienta de código abierto llamada SwiftBelt, creada originalmente para que los profesionales de seguridad legítimos evalúen las vulnerabilidades de la red. Esta adopción de herramientas legítimas para fines nefastos demuestra la adaptabilidad y sofisticación del malware.

Si bien el enfoque de este descubrimiento gira en torno al malware para Mac, vale la pena señalar que los investigadores también han detectado elementos que indican la existencia de variantes de JokerSpy para plataformas Windows y Linux. Esto sugiere que los creadores de JokerSpy han desarrollado versiones dirigidas a estos populares sistemas operativos, expandiendo así su alcance e impacto potencial en múltiples plataformas.

JokerSpy pasa por alto las protecciones de seguridad de MacOS

Se ha observado que el actor de amenazas no identificado detrás de JokerSpy emplea una técnica para eludir las protecciones de Transparencia, Consentimiento y Control (TCC) de macOS. Por lo general, requerirían un permiso de usuario explícito para que las aplicaciones accedan a recursos confidenciales en una Mac, como el disco duro y los contactos o la capacidad de grabar la pantalla.

Para lograr su objetivo, los actores de amenazas reemplazaron la base de datos TCC existente con la suya propia, con el objetivo de suprimir cualquier alerta que normalmente se activaría cuando se ejecuta el malware JokerSpy. Los ataques anteriores han demostrado que los actores de amenazas pueden explotar las vulnerabilidades dentro de las protecciones de TCC para eludirlas con éxito.

En este caso particular, el componente ejecutable xcc de JokerSpy juega un papel crucial en el exploit. Realiza una verificación de los permisos de TCC, determinando la aplicación actualmente activa con la que el usuario estaba interactuando. Posteriormente, procede a descargar e instalar sh.py, el principal motor responsable de ejecutar el malware JokerSpy.

Al utilizar este método, los actores de amenazas logran aprovechar una vulnerabilidad de día cero en macOS, otorgándoles la capacidad de capturar capturas de pantalla de dispositivos Mac comprometidos.

Las múltiples capacidades amenazantes que se encuentran dentro de la puerta trasera de JokerSpy

Una vez que un sistema se ve comprometido e infectado con JokerSpy, el atacante obtiene un control significativo sobre él. Las capacidades exhibidas por esta amenaza de malware abarcan una amplia gama de funciones y acciones que se pueden ejecutar de acuerdo con los objetivos específicos de los atacantes.

Estas funciones incluyen la capacidad de detener la ejecución de la puerta trasera de JokerSpy presente en el dispositivo violado. Además, el malware permite al atacante enumerar archivos ubicados en una ruta específica, ejecutar comandos de shell y recuperar su salida, navegar y cambiar directorios y ejecutar código Python dentro del contexto actual.

JokerSpy también posee la capacidad de decodificar el código Python codificado en Base64 proporcionado como parámetro, compilarlo y luego ejecutarlo dentro del sistema infectado. Además, el malware permite al atacante eliminar archivos o directorios del sistema comprometido, ejecutar archivos con o sin parámetros, cargar archivos en el sistema infectado y descargar archivos del sistema infectado.

Los atacantes también pueden indicar a JokerSpy que recupere la configuración actual del malware almacenado en el archivo de configuración. El atacante puede acceder a esta configuración y manipularla para adaptarla a sus objetivos, ya que puede anular el archivo de configuración existente con nuevos valores que se alineen con sus intenciones maliciosas.

Al exhibir estas diversas funciones y acciones, JokerSpy proporciona al atacante un conjunto integral de herramientas para ejercer control y llevar a cabo actividades maliciosas dentro del sistema comprometido. Estas capacidades subrayan la gravedad y el impacto potencial de las infecciones de malware, enfatizando la importancia crítica de implementar medidas de seguridad sólidas para prevenir y mitigar tales amenazas.