マルチライセンス割引
Threat Database Mac Malware JokerSpy Backdoor

JokerSpy Backdoor

Mac Malware, BackdoorsMezoまで
翻訳内容:
日本語

サイバーセキュリティ研究者は、仮想通貨取引所への感染に成功した、これまで知られていなかった Mac マルウェアを発見しました。 JokerSpy と呼ばれるこの特定のマルウェアは、その広範な機能により際立っており、影響を受けるシステムのセキュリティとプライバシーに明らかな脅威をもたらします。

JokerSpy は、Python プログラミング言語を使用して作成されています。これは幅広い悪意のある機能を示し、その包括的なツール スイートにより、個人データを盗むだけでなく、追加の悪意のあるファイルをダウンロードして実行することもできます。その結果、被害者はさらに大きな被害を受ける可能性があります。

興味深いことに、JokerSpy は、もともと正規のセキュリティ専門家がネットワークの脆弱性を評価するために作成された SwiftBelt というオープンソース ツールを利用しています。不正な目的で正規のツールが採用されているということは、マルウェアの適応性と洗練性を示しています。

この発見の焦点は Mac マルウェアを中心としていますが、研究者らが Windows および Linux プラットフォーム用の JokerSpy 亜種の存在を示す要素も検出したことは注目に値します。これは、JokerSpy の作成者がこれらの人気のあるオペレーティング システムをターゲットにしたバージョンを開発し、それによって複数のプラットフォームにわたってその範囲と潜在的な影響を拡大したことを示唆しています。

JokerSpy は MacOS のセキュリティ保護をバイパスします

JokerSpy の背後にある正体不明の攻撃者は、macOS の透明性、同意、および制御 (TCC) 保護を回避する手法を使用していることが観察されています。通常、アプリケーションが Mac 上の機密リソース (ハード ドライブや連絡先、画面録画機能など) にアクセスするには、明示的なユーザー許可が必要です。

目的を達成するために、攻撃者は既存の TCC データベースを独自のデータベースに置き換え、通常 JokerSpy マルウェアが実行されるときにトリガーされるアラートを抑制することを目的としました。これまでの攻撃では、脅威アクターが TCC 保護内の脆弱性を悪用して、それらを回避できることが実証されています。

この特定のケースでは、JokerSpy の xcc 実行可能コンポーネントがエクスプロイトで重要な役割を果たします。 TCC 権限のチェックを実行し、ユーザーが操作している現在アクティブなアプリケーションを特定します。続いて、JokerSpy マルウェアの実行を担当するプライマリ エンジンである sh.py のダウンロードとインストールに進みます。

この方法を利用することで、攻撃者は macOS のゼロデイ脆弱性を悪用し、侵害された Mac デバイスのスクリーンショットをキャプチャできるようになります。

JokerSpy バックドア内に発見された複数の脅威機能

システムが侵害され、JokerSpy に感染すると、攻撃者はシステムを大幅に制御できるようになります。このマルウェアの脅威によって示される機能には、攻撃者の特定の目的に従って実行できる幅広い機能とアクションが含まれています。

これらの機能には、侵害されたデバイス内に存在する JokerSpy バックドアの実行を停止する機能が含まれます。さらに、このマルウェアにより、攻撃者は指定されたパスにあるファイルの一覧表示、シェル コマンドの実行とその出力の取得、ディレクトリの移動と変更、現在のコンテキスト内での Python コードの実行が可能になります。

JokerSpy は、パラメータとして提供された Base64 でエンコードされた Python コードをデコードし、コンパイルして、感染したシステム内で実行する機能も備えています。さらに、このマルウェアにより、攻撃者は感染したシステムからファイルやディレクトリを削除したり、パラメータの有無にかかわらずファイルを実行したり、感染したシステムにファイルをアップロードしたり、感染したシステムからファイルをダウンロードしたりすることが可能になります。

攻撃者は、構成ファイルに保存されているマルウェアの現在の構成を取得するように JokerSpy に指示することもできます。攻撃者は、悪意のある意図に沿った新しい値で既存の構成ファイルを上書きできるため、この構成にアクセスして目的に合わせて操作することができます。

JokerSpy は、これらのさまざまな機能とアクションを示すことにより、侵害されたシステム内で制御を発揮し、悪意のある活動を実行するための包括的なツール セットを攻撃者に提供します。これらの機能は、マルウェア感染の深刻さと潜在的な影響を強調し、そのような脅威を防止および軽減するための堅牢なセキュリティ対策を実装することが極めて重要であることを強調しています。

 

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...