Mac-malware infecteert cryptovalutabeurs
Security-onderzoekers hebben gloednieuwe malware voor macOS ontdekt die in de praktijk al blijkt te zijn geplant op een uitwisselplatform (exchange) voor cryptovaluta. De kwaadaardige software heeft de naam JokerSpy gekregen en kan verschillende handelingen uitvoeren, waaronder het stelen van data op computers van eindgebruikers, het maken van schermopnames en het installeren van backdoors voor toekomstige toegang.
© Apple
Apple
Kort na de initiële ontdekking en bekendmaking van JokerSpy, begin deze maand door securitybedrijf Bitdefender, is detectie op een cryptovaluta-exchange aan het licht gekomen. Die tweede ontdekking staat op naam van securitybedrijf Elastic. De onderzoekers van Bitdefender hebben de nieuwe malware ontleed en daarbij ook cross-platform fragmenten gevonden die duiden op mogelijke varianten die dan op Windows en Linux draaien. Vervolgens hebben onderzoekers van Elastic hun bevindingen geopenbaard, waaruit een sluwe en gerichte aanpak van de malwaremakers blijkt.
Japans, maar wereldwijd bereik
De endpoint-securitysoftware van Elastic heeft eind mei een onderdeel van JokerSpy gedetecteerd op "een prominente cryptocurrency exchange". De naam van dat slachtoffer, dat dus een platform is waarop gebruikers virtuele valuta (waaronder Bitcoin en Ethereum) kunnen verkrijgen, verhandelen of wisselen, wordt vooralsnog geheim gehouden. De security-onderzoekers van Elastic laten slechts los dat het om een prominent Japans platform gaat.
De grensoverschrijdende aard van cryptovaluta zorgt er echter voor dat gebruikers natuurlijk wereldwijd slachtoffer kunnen zijn. Daarnaast spreekt Elastic in zijn blogpost van "doelwitten", waarvan de niet nader genoemde cryptovalutabeurs er slechts één is. Het door Elastic gedetecteerde JokerSpy-component (het binary bestand xcc) dient om ingebouwde beschermingsmaatregelen van macOS te omzeilen. Als dat eenmaal is gelukt, kan er meer kwaadaardig werk worden verricht.
Supplychain-aanval?
Er lijkt echter voorafgaand aan de opgemerkte activiteit van het JokerSpy-component ook al hackwerk te zijn verricht. Het is volgens de security-onderzoekers van Elastic namelijk zo dat de daders al bestaande toegang hadden tot de cryptovalutabeurs waarlangs de voorheen onbekende Mac-malware is ontdekt. Aanvankelijk was deze Mac-malware ongezien door securitysoftware, maar het kan nu door steeds meer pakketten worden gedetecteerd, meldt Ars Technica.
Het onderzoek loopt nog, maar er zijn aanwijzingen dat de initiële toegang voor deze malware schuilt in een plug-in met een stiekem ingebouwde backdoor óf een gecompromitteerd stuk essentiële software van een derde partij (een zogeheten dependancy). Daarmee zou het een sluwe supplychain-aanval kunnen zijn. Elastic bevestigt bevindingen van Bitdefender dat er een ingebakken (hard-coded) verwijzing naar een bepaald domein zit in een versie van backdoor-code die JokerSpy benut. Die naam gegeven door de ontdekkers is voortgekomen uit de gebruikersnaam van de maker. Die is 'uitgelekt' door compilatie-informatie (met Apple's ontwikkeltool Xcode) in de malwarecode.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee