На одной из неназванных, но известных криптовалютных бирж исследователи обнаружили вредоносное ПО для Mac. Среди его возможностей – кража личных данных, загрузка и выполнения новых вредоносных файлов. Программа JokerSpy, написана на языке Python и использует инструмент с открытым исходным кодом SwiftBelt, который изначально предназначен для тестирования сетей на уязвимость.
Конкретная версия JokerSpy изготовлена под macOS, но исследователи кода нашли элементы, позволяющие говорить о наличии версий под Windows и Linux. Изначально софт обнаружили специалисты Bitdefender, а пять дней спустя исследователи из компании Elastic обнаружили двоичный файл, имеющий отношение к программе, в системе «известной японской криптовалютной биржи». По ссылке достаточно подробно описана техническая сторона работы JokerSpy.
«После того, как система скомпрометирована и заражена вредоносным ПО JokerSpy, злоумышленник получает значительный контроль над системой. С помощью бэкдора он может устанавливать дополнительные компоненты в фоновом режиме и запускать новые эксплойты, отслеживать поведение пользователей, красть учетные данные для входа, криптовалютные кошельки и многое другое», — рассказывают исследователи из компании Intego, занимающейся безопасностью macOS.
Как распространяется JokerSpy пока точно неизвестно. Elastic сообщила, что злоумышленник, которого она наблюдала, уже имел «действующий доступ» к японской бирже криптовалют. В сообщениях вышеназванных компаний о проблеме описываются методы обнаружения JokerSpy под Mac, но вопрос с версиями под Windows и Linux остается открытым.
Источник: Ars Technica