Investigadores de Bitdefender y Elastic Security Labs descubrieron una intrusión dirigida a un corredor de criptomonedas en Japón. La intrusión implicó el uso de una puerta trasera personalizada y herramientas de macOS de código abierto. Los actores de las amenazas utilizaron varias puertas traseras para implementar programas espía (spyware) en los sistemas de las víctimas con el fin de realizar tareas de reconocimiento y de comandos y control.
Amenaza: JokerSpy
Efectos:
Según los investigadores de Elastic Security Labs, el actor de la amenaza intentó eludir los permisos de Transparencia, Consentimiento y Control (TCC) en macOS creando su propia base de datos TCC y sustituyendo la existente. También implementaron una puerta trasera Python llamada sh.py
, que cargaba su configuración desde un archivo específico y permitía diversos comandos y acciones en el sistema infectado. En su investigación, los investigadores de Elastic Security Labs informaron que, una vez que los atacantes obtuvieron acceso al sistema con la puerta trasera JokerSpy, ejecutaron una instancia de SwiftBelt, que es un conocido conjunto de herramientas de reconocimiento posterior a la explotación de macOS de código abierto, diseñado para Red Teams.
Jamf Threat Labs ha estado bloqueando eficazmente el malware JokerSpy desde su divulgación pública inicial, lo que demuestra nuestra dedicación exclusiva a las plataformas de Apple. La reciente revelación del uso de SwiftBelt en el ataque también pone de relieve la capacidad de Jamf para analizar rápidamente nuevas herramientas, crear reglas de bloqueo personalizadas y seguir el ritmo del surgimiento de las nuevas amenazas. Es importante destacar que Jamf Protect tiene reglas personalizadas para bloquear a SwiftBelt desde hace más de dos años. Este enfoque proactivo nos distingue de los proveedores multiplataforma, que suelen tardar en abordar las nuevas herramientas de explotación de vulnerabilidades de Apple hasta que se han visto en campañas activas de malware. Esto subraya nuestro firme compromiso de ofrecer la seguridad macOS más completa y actualizada.
Prevenido por:
Jamf Protect rastrea esta campaña de malware y las reglas personalizadas de prevención de amenazas bloquean su ejecución a partir del 19 de junio de 2023.
Además, Jamf Protect detecta y alerta genéricamente sobre la creación de bases de datos TCC falsificadas (como se ha visto en este ataque) a través de la analítica de comportamiento: "Archivo de base de datos TCC creado manualmente". La base de datos TCC lleva un registro de las aplicaciones a las que un usuario ha concedido permisos especiales, como acceso total al disco o acceso a sus contactos. Históricamente, los ataques a esta característica de seguridad a menudo han requerido que un atacante cree su propio archivo TCC.db modificado en el disco y luego convenza al sistema operativo para que utilice ese archivo TCC.db en lugar de la base de datos creada por macOS.
IOC (según lo publicado por Bitdefender y Elastic):
URL maliciosas (publicadas por Bitdefender y Elastic):
El malware no es para reírse: manténgase protegido con Jamf.
Suscribirse al Blog de Jamf
Haz que las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf se envíen directamente a tu bandeja de entrada.
Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.