На одній із неназваних, але відомих криптовалютних бірж дослідники виявили шкідливе програмне забезпечення для Mac. Серед його можливостей – крадіжка особистих даних, завантаження та виконання нових шкідливих файлів. Програма JokerSpy написана мовою Python та використовує інструмент з відкритим вихідним кодом SwiftBelt, який початково призначений для тестування мереж на вразливість.
Конкретна версія JokerSpy виготовлена під macOS, але дослідники коду виявили елементи, що дозволяють говорити про наявність версій під Windows та Linux. Спочатку софт виявили фахівці Bitdefender, а за п’ять днів дослідники з компанії Elastic виявили бінарний файл, що має відношення до програми, в системі «відомої японської криптовалютної біржі». За посиланням досить докладно описано технічну сторону роботи JokerSpy.
«Після того, як система скомпрометована та заражена шкідливим програмним забезпеченням JokerSpy, зловмисник отримує значний контроль над системою. За допомогою бекдору він може встановлювати додаткові компоненти у фоновому режимі та запускати нові експлойти, відстежувати поведінку користувачів, красти облікові дані для входу, криптовалютні гаманці та багато іншого», — розповідають дослідники з компанії Intego, яка займається безпекою macOS.
Як поширюється JokerSpy поки що точно невідомо. Elastic повідомила, що зловмисник, за яким вона спостерігала, вже мав «чинний доступ» до японської біржі криптовалют. У повідомленнях вищезгаданих компаній про проблему описуються методи виявлення JokerSpy під Mac, але питання з версіями під Windows та Linux залишається відкритим.
Джерело: Ars Technica