\n<\/aside>\n<\/p>\n
Los investigadores han descubierto un malware de Mac previamente desconocido que infecta un intercambio de criptomonedas. Contiene un conjunto completo de capacidades, incluida la capacidad de robar datos privados y descargar y ejecutar nuevos archivos maliciosos.<\/p>\n
Apodado JokerSpy, el malware est\u00e1 escrito en el lenguaje de programaci\u00f3n Python y utiliza una herramienta de c\u00f3digo abierto conocida como SwiftBelt, que est\u00e1 dise\u00f1ada para que los profesionales de seguridad leg\u00edtimos prueben sus redes en busca de vulnerabilidades. JokerSpy sali\u00f3 a la luz por primera vez a principios de este mes en esta publicaci\u00f3n de la firma de seguridad Bitdefender. Los investigadores de la compa\u00f1\u00eda dijeron que identificaron componentes de Windows y Linux, lo que sugiere que tambi\u00e9n existen versiones para esas plataformas.<\/p>\n
Cinco d\u00edas despu\u00e9s, los investigadores de la empresa de seguridad Elastic informaron que la herramienta de diagn\u00f3stico de protecci\u00f3n de puntos finales que venden hab\u00eda detectado xcc, un archivo binario que forma parte de JokerSpy. Elastic no identific\u00f3 a la v\u00edctima m\u00e1s que para decir que era un \u00abintercambio de criptomonedas japon\u00e9s destacado\u00bb.<\/p>\n
Una vez que se ejecut\u00f3 xcc, el actor de amenazas desconocido intent\u00f3 eludir las llamadas protecciones TCC en macOS que requieren el permiso expl\u00edcito de un usuario antes de que una aplicaci\u00f3n pueda acceder al disco duro, los contactos y otros recursos confidenciales de una Mac o grabar su pantalla.<\/p>\n
Al reemplazar la base de datos TCC existente con la suya propia, los actores de amenazas probablemente estaban tratando de suprimir las alertas que de otro modo aparecer\u00edan cuando se ejecuta JokerSpy. En ataques anteriores, los actores de amenazas han podido eludir las protecciones de TCC al explotar las vulnerabilidades en ellas. Los investigadores tambi\u00e9n han demostrado ataques que pudieron hacer lo mismo.<\/p>\n\nActor de amenazas creando\/modificando y moviendo una base de datos TCC, y luego ejecutando xcc.<\/p>\n
El\u00e1stico<\/p>\n<\/figcaption><\/figure>\n
El ejecutable xcc verifica los permisos de TCC e identifica la aplicaci\u00f3n con la que el usuario est\u00e1 interactuando actualmente. Luego descarga e instala sh.py, el motor principal del malware JokerSpy. Contiene las capacidades habituales de puerta trasera, que incluyen:<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\n\n\nDominio<\/th>\n Descripci\u00f3n<\/th>\n<\/tr>\n<\/thead>\n \n\nsk<\/td>\n Detener la ejecuci\u00f3n de la puerta trasera<\/td>\n<\/tr>\n \nyo<\/td>\n Enumere los archivos de la ruta proporcionada como par\u00e1metro<\/td>\n<\/tr>\n \nC<\/td>\n Ejecutar y devolver la salida de un comando de shell<\/td>\n<\/tr>\n \ncd<\/td>\n Cambiar directorio y devolver la nueva ruta<\/td>\n<\/tr>\n \nxs<\/td>\n Ejecutar un c\u00f3digo de Python dado como par\u00e1metro en el contexto actual<\/td>\n<\/tr>\n \nxsi<\/td>\n Descodifique un c\u00f3digo de Python codificado en Base64 dado como par\u00e1metro, comp\u00edlelo y luego ejec\u00fatelo<\/td>\n<\/tr>\n \nr<\/td>\n Eliminar un archivo o directorio del sistema<\/td>\n<\/tr>\n \nmi<\/td>\n Ejecutar un archivo del sistema con o sin par\u00e1metro<\/td>\n<\/tr>\n \ntu<\/td>\n Subir un archivo al sistema infectado<\/td>\n<\/tr>\n \nd<\/td>\n Descargar un archivo del sistema infectado<\/td>\n<\/tr>\n \ngramo<\/td>\n Obtenga la configuraci\u00f3n actual del malware almacenada en el archivo de configuraci\u00f3n<\/td>\n<\/tr>\n \nw<\/td>\n Anule el archivo de configuraci\u00f3n del malware con nuevos valores<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\u201cUna vez que un sistema est\u00e1 comprometido e infectado con malware como JokerSpy, el atacante tiene efectivamente un alto grado de control sobre el sistema\u201d, escribieron el viernes investigadores de la firma de seguridad macOS Intego. \u00abCon una puerta trasera, los atacantes pueden instalar componentes adicionales en segundo plano y potencialmente podr\u00edan ejecutar m\u00e1s exploits, monitorear el comportamiento de los usuarios, robar credenciales de inicio de sesi\u00f3n o billeteras de criptomonedas, y m\u00e1s\u00bb.<\/p>\n
Los investigadores a\u00fan no est\u00e1n seguros de c\u00f3mo se instala JokerSpy. Los investigadores de Elastic dijeron que \u00abcreen firmemente que el acceso inicial para este malware fue un complemento malicioso o de puerta trasera o una dependencia de terceros que proporcion\u00f3 acceso al actor de amenazas\u00bb. Esta teor\u00eda se alinea con las observaciones de los investigadores de Bitdefender que correlacionaron un dominio codificado encontrado en una versi\u00f3n de la puerta trasera sh.py con un serie de tuits<\/a> sobre un lector de c\u00f3digos QR de macOS infectado que se descubri\u00f3 que ten\u00eda una dependencia maliciosa. Elastic tambi\u00e9n dijo que el actor de amenazas que observ\u00f3 ya ten\u00eda \u00abacceso existente\u00bb al intercambio de criptomonedas japon\u00e9s.<\/p>\nLas publicaciones vinculadas anteriormente enumeran varios indicadores que las personas pueden usar para determinar si han sido atacados con JokerSpy. Adem\u00e1s de hashes criptogr\u00e1ficos de varias muestras de xcc y sh.py, los indicadores incluyen contacto con dominios en git-hub[.]yo y app.influmarket[.]org. Si bien JokerSpy no fue detectado por la gran mayor\u00eda de los motores antivirus cuando el malware sali\u00f3 a la luz por primera vez, un cuerpo mucho m\u00e1s amplio de motores puede identificarlo ahora. Si bien no hay confirmaci\u00f3n de que existan versiones de Windows o Linux de JokerSpy, las personas deben saber que es una posibilidad clara.<\/p>\n<\/p><\/div>\n