Обнаружено вредоносное ПО JokerSpy, добавляющее бэкдор в macOS

Обнаружено новое и странное вредоносное ПО для macOS под названием «JokerSpy», и его первый известный бэкдор попал на криптобиржу.

Хотя угрозы для Mac относительно редки по сравнению с Windows, количество случаев, когда целью является macOS, продолжает расти. В новом открытии кажется, что есть еще одна вредоносная программа, создающая бэкдор, которую нужно добавить в список потенциальных угроз.

Вредоносная программа, известная как JokerSpy, до сих пор относительно неизвестна, отчасти из-за отсутствия образцов. На данный момент BitDefender работает в общей сложности над четырьмя образцами, в то время как Eastic сосредоточился на взломе «известной японской криптовалютной биржи».

В составе вредоносной программы используется двоичный файл под названием «xcc», который содержит файлы Mach-O для архитектур x86 Intel и ARM M1, что теоретически позволяет ему работать на компьютерах Intel и Apple Silicon Mac. Файл проверяет разрешения, управляемые системой прозрачности, согласия и контроля Apple.

После копирования существующей базы данных TCC, чтобы избежать обнаружения, исполняемый файл xcc запустился, создав бэкдор на основе Python, прежде чем собирать системную информацию, которая затем отправляется обратно злоумышленнику. Вполне возможно, что плагины и другие полезные нагрузки могут использоваться для обеспечения большего контроля над системой.

За взломом в конце мая последовала установка нового инструмента Python 1 июня, в котором запущен инструмент подсчета после эксплуатации под названием Swiftbelt.

С таким небольшим количеством экземпляров для работы и верой в то, что хакер биржи ранее имел доступ к целевой системе, неизвестно, как вредоносное ПО могло быть введено в целевые компьютеры Mac без какой-либо формы доступа.

Также неизвестно, кто создал вредоносное ПО в первую очередь, но, нацелившись на биржу криптовалюты, это может быть очень изощренная атака, а не та, жертвой которой может стать обычный пользователь.

Профилактика – это путь

Основываясь на имеющихся ограниченных доказательствах, маловероятно, что средний пользователь Mac столкнется с JokerSpy в настоящее время, за исключением важных целей.

обычно рекомендует пользователям Mac быть в курсе обновлений macOS, отчасти из-за регулярного включения Apple исправлений безопасности. Пользователи также должны соблюдать гигиену в Интернете, в том числе знать, насколько надежными являются сайты и загрузки, ограничивать распространение личной информации и использовать доступные параметры безопасности, где это возможно.