Jamf schützt vor JokerSpy-Malware

Bedrohungsakteur*innen hatten es auf eine Kryptowährungsbörse in Japan abgesehen, installierten Hintertüren und setzten Spyware ein. Lesen Sie mehr über die Methode des Angriffs und Jamfs Verteidigung gegen die Bedrohung.

June 30 2023 Von

Jamf Threat Labs

Forscher*innen von Bitdefender und Elastic Security Labs entdeckten einen Einbruch in eine Kryptowährungsbörse in Japan. Das Eindringen erfolgte über eine benutzerdefinierte Hintertür und Open-Source-Tools für macOS. Die Bedrohungsakteur*innen nutzten verschiedene Hintertüren, um Spionagesoftware auf den Systemen der Opfer zu installieren, um dort Aufklärungsarbeit zu leisten und die Kontrolle zu übernehmen.

Bedrohung: JokerSpy

Auswirkungen:

Laut den Forscher*innen von Elastic Security Labs versuchte der Bedrohungsakteur, die TCC-Berechtigungen (Transparency, Consent and Control) auf macOS zu umgehen, indem er seine eigene TCC-Datenbank erstellte und die bestehende ersetzte. Sie setzten auch eine Python-Backdoor namens sh.pyein, die ihre Konfiguration aus einer bestimmten Datei lud und verschiedene Befehle und Aktionen auf dem infizierten System ermöglichte. In ihrer Untersuchung berichteten die Forscher*innen von Elastic Security Labs, dass die Angreifer*innen, nachdem sie sich mit der JokerSpy-Hintertür Zugang zum System verschafft hatten, eine Instanz von SwiftBelt ausführten. SwiftBelt ist ein bekanntes Open-Source-Toolset zur Erkundung von macOS nach der Ausbeutung, das für Red Teaming entwickelt wurde.

Jamf Threat Labs hat die JokerSpy-Malware seit ihrer ersten Veröffentlichung effektiv blockiert, was unser Engagement für Apple Plattformen unterstreicht. Die jüngste Enthüllung der Verwendung von SwiftBelt bei dem Angriff unterstreicht auch die Fähigkeit von Jamf, neue Tools schnell zu analysieren, benutzerdefinierte Blockierungsregeln zu erstellen und mit der Entwicklung neuer Bedrohungen Schritt zu halten. Wichtig ist, dass Jamf Protect bereits seit über zwei Jahren über benutzerdefinierte Regeln verfügt, um SwiftBelt zu blockieren. Dieser proaktive Ansatz unterscheidet uns von Anbieter*innen mehrerer Plattformen, die sich in der Regel erst dann mit neuen Apple Exploit-Tools befassen, wenn sie in aktiven Malware-Kampagnen gesehen wurden. Dies unterstreicht unser festes Engagement, die umfassendste und aktuellste macOS-Sicherheit zu bieten.

Verhindert durch:

Jamf Protect verfolgt diese Malware-Kampagne, und benutzerdefinierte Regeln zur Abwehr von Bedrohungen blockieren ihre Ausführung ab dem 19. Juni 2023.

Darüber hinaus erkennt Jamf Protect die Erstellung gefälschter TCC-Datenbanken (wie in diesem Angriff) über die Verhaltensanalyse: „TCC Database File Manually Created”und schlägt Alarm. In der TCC-Datenbank wird festgehalten, welchen Apps ein Benutzer/eine Benutzerin besondere Berechtigungen erteilt hat, wie z. B. den vollen Festplattenzugriff oder den Zugriff auf seine Kontakte. In der Vergangenheit war es für die Ausnutzung dieser Sicherheitsfunktion oft erforderlich, dass ein Angreifer/eine Angreiferin seine eigene modifizierte TCC.db-Datei auf der Festplatte erstellt und dann das Betriebssystem dazu bringt, diese TCC.db-Datei anstelle der von macOS erstellten Datenbank zu verwenden.

IOCs (wie von Bitdefender und Elastic veröffentlicht):

Bösartige URLs (wie von Bitdefender und Elasticveröffentlicht):

Über Malware ist nicht zu lachen - schützen Sie sich mit Jamf.

Abonnieren Sie den Jamf Blog

Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.