JokerSpy è un pericoloso malware per Mac. Ha già compromesso un exchange giapponese

I ricercatori di sicurezza di Bitdefender hanno scoperto un malware per Mac che è già stato sfruttato per compromettere un "importante servizio di cambio di criptovalute" in Giappone. A scoprire la compromissione è stata un'altra società di sicurezza, Elastic, tramite il suo strumento diagnostico di protezione degli endpoint.

Il malware, battezzato JokerSpy, è stato realizzato in Python e sfrutta, abusandone, lo strumento open source SwiftBelt, che permette in maniera del tutto lecita di testare la vulnerabilità di una rete. Il malware è stato osservato per la prima volta all'inizio del mese di giugno, e sono stati rilevati anche componenti Windows e Linux suggerendo l'esistenza di altre versioni per i relativi sistemi operativi.

Elastic ha rilevato un file binario xcc che fa parte di JokerSpy che, una volta eseguito, ha tentato di aggirare le protezioni TCC (Transparent, Consent and Control) di macOS che richiedono l'esplicita autorizzazione dell'utente prima che un'app possa effettuare l'accesso a risorse di sistema e dati, come ad esempio l'accesso al disco rigido, ai contatti o alle funzionalità di registrazione schermo.

In particolare xcc va a controllare le autorizzazioni TCC e identifica l'app attiva con cui l'utente sta interagendo. A questo punto scarica e installa sh.py, il cuore effettivo di JokerSpy che contiene numerose funzionalità backdoor.

Sull'argomento è intervenuta anche la società di sicurezza Intego, che spiega: "Una volta che un sistema viene compromesso e infettato da malware come JokerSpy, l'attaccante ha effettivamente un elevato grado di controllo sul sistema. Con una backdoor, gli aggressori possono installare componenti aggiuntivi in background e potrebbero potenzialmente eseguire ulteriori exploit, monitorare il comportamento degli utenti, rubare credenziali di accesso o portafogli di criptovaluta e altro ancora."

Quello che ancora non è noto è il metodo di installazione di JokerSpy, anche se i ricercatori di Elastic hanno avanzato l'ipotesi che lo stesso malware possa in realtà essere una fase avanzata di una azione che prevede in origine un plug-in dannoso o un'altra backdoor o comunque una dipendenza terza che ha fornito l'accesso all'autore della minaccia. I ricercatori sostengono inoltre che l'attore della minaccia era già in possesso di un "accesso esistente" all'exchange di criptovalute giapponese.

A suffragare questa ipotesi vi sono inoltre le rilevazioni di Bitdefender, che ha individuato un dominio hardcoded in una versione di sh.py legato ad una serie di tweet aventi come oggetto un lettore di codici QR per macOS infetto, e che è stato poi scoperto possedere una dipendenza dannosa.

Al di là dell'episodio riguardante l'exchange di criptovalute, JokerSpy è comunque una minaccia abbastanza pericolosa, data la capacità di fornire controllo remoto al sistema compromesso. A tal proposito i ricercatori di sicurezza hanno divulgato una serie di indicatori di compromissione utili a verificare se il proprio sistema risultasse infetto dal nuovo malware. Rispetto ai primi riscontri, ora il malware risulta essere identificabile da vari motori antivirus. Nonostante, inoltre, al momento non vi siano prove dell'esistenza di versioni Windows o Linux, è bene considerare la possibilità come concreta.