Malware JOKERSPY: Eksploitasi Backdoor dan Manipulasi Perizinan TCC
August 14, 2023
Penelitian Elastic Security Labs temukan serangan yang diberi nama JOKERSPY pada Juni 2023, melibatkan tools macOS open source untuk mengeksploitasi bursa crypto Jepang. Malware ini menyerang pengguna macOS dan menargetkan industri cryptocurrency.
DESKRIPSI1
 |
Serangan JOKERSPY, juga dikenal sebagai REF9134, menggunakan backdoor sh.py untuk meng-install tools enumerasi Swiftbelt, perangkat lunak pendeteksi kelemahan sistem. Penjahat siber juga menggunakan self-signed binaries (xcc) dan memanipulasi perizinan TCC (Transparency, Consent, and Control) dengan TCC milik sendiri. TCC adalah mekanisme keamanan di macOS yang memberikan pengguna kendali atas izin aplikasi. Serangan JokerSpy mencoba menghindari TCC dengan membuat database TCC sendiri untuk mendapatkan akses tanpa izin pengguna. Dengan cara ini, penjahat siber dapat menghindari permintaan TCC yang terlihat oleh pengguna sistem dan menyalahgunakan direktori dengan izin penulisan file. Dengan ini, penjahat siber dapat menghindari deteksi dan mengumpulkan data berharga. JOKERSPY memiliki kemampuan menjalankan perintah sembarang, memanipulasi file, dan mencuri data sensitif. |
METODE SERANGAN2
|
|
- Elastic Security telah mengembangkan YARA rules (ref. a) untuk mengidentifikasi backdoor JOKERSPY dan tools SwiftBelt. YARA rules mengidentifikasi pembuatan database TCC alternatif atau palsu yang mungkin berisi preferensi privasi macOS yang mencurigakan.
- Produk Bitdefender menandai components Python sebagai Trojan.Python.JokerSpy. Binary Mach-O terdeteksi sebagai Trojan.MAC.JokerSpy.
- Produk The SentinelOne juga dapat mendeteksi JOKERSPY seperti QRLog dan komponen malicious lainnya.
|
Rekokmendasi Pencegahan
| |
Berikut adalah beberapa hal yang perlu dilakukan dalam mencegah JOKERSPY: |
|
|
|
- Jangan mengunduh dan meng-install perangkat lunak atau file dari sumber yang tidak terpercaya.
- Jangan mengklik tautan atau lampiran email yang berasal dari pengirim yang tidak dikenal.
- Selalu lakukan pembaruan keamanan untuk sistem operasi dan perangkat lunak yang digunakan.
- Jangan abaikan tanda peringatan atau indikasi adanya serangan malware.
- Gunakan antivirus yang terpercaya dan lakukan pemindaian rutin pada sistem.
- Lakukan backup data penting secara teratur.
|
|
