يقع Cryptocurrency Exchange ضحية لهجوم غير مسبوق ومدمّر لبرامج Mac الضارة
في اكتشاف حديث ، كشف الباحثون النقاب عن سلالة جديدة من برامج Mac الضارة التي استهدفت تبادل العملات المشفرة ، مما يشكل تهديدًا كبيرًا لأمن أموال المستخدمين. تعرض هذه البرامج الضارة المتطورة ، المسماة JokerSpy ، مجموعة واسعة من القدرات ، بما في ذلك سرقة البيانات ، وتنزيل الملفات المهددة وتنفيذها ، والوظائف المحتملة عبر الأنظمة الأساسية. يستخدم JokerSpy ، المكتوب بلغة Python ، SwiftBelt ، وهي أداة مفتوحة المصدر مخصصة في البداية لاختبار الأمان المشروع. ظهر الانكشاف الأولي لـ JokerSpy من خلال تقرير أمني ، كشف عن وجوده وأثار مخاوف بشأن إمكانية توفره على منصات Windows و Linux. يسلط هذا التطور الضوء على التحديات المستمرة لبورصات العملات المشفرة والحاجة المستمرة لتدابير أمنية قوية للحماية من التهديدات الناشئة.
جدول المحتويات
تشريح التهديد
ظهرت البرامج الضارة JokerSpy بعد أن اكتشفت أداة حماية نقطة نهاية معينة ملفًا ثنائيًا مشبوهًا يسمى xcc. الضحية التي استهدفتها البرمجيات الخبيثة كانت بورصة معروفة للعملات المشفرة في اليابان. بمجرد ظهور ملف xcc ، حاول المتسللون وراء JokerSpy تجاوز الحماية الأمنية لنظام التشغيل macOS ، والمعروفة باسم TCC ، والتي تتطلب إذنًا صريحًا من المستخدم للتطبيقات للوصول إلى البيانات والموارد الحساسة. استبدل ممثلو التهديد قاعدة بيانات TCC الحالية بقاعدة بياناتهم الخاصة ، على الأرجح لمنع التنبيهات من الظهور عندما كان JokerSpy نشطًا. في الهجمات السابقة ، استغل المتسللون نقاط الضعف في حماية TCC لتجاوزها ، وأظهر الباحثون هجمات مماثلة.
يحتوي المحرك الرئيسي لبرنامج JokerSpy الضار على العديد من الوظائف الخلفية التي تسمح بإجراءات غير مصرح بها وتوفر التحكم في النظام المخترق. تتضمن هذه الوظائف إيقاف تنفيذ الباب الخلفي (sk) ، وسرد الملفات في مسار محدد (l) ، وتنفيذ أوامر shell وإعادة الإخراج (c) ، وتغيير الدليل الحالي وتوفير المسار الجديد (cd) ، وتنفيذ كود Python داخل السياق الحالي باستخدام المعلمة المقدمة (xs) ، وفك تشفير وتنفيذ رمز Python المشفر Base64 (xsi) ، وإزالة الملفات أو الدلائل من النظام (r) ، وتنفيذ الملفات من النظام مع أو بدون المعلمات (e) ، وتحميل الملفات إلى النظام المصاب (u) وتنزيل الملفات من النظام المصاب (d) واسترداد التكوين الحالي للبرامج الضارة من ملف التكوين (g) وتجاوز ملف تكوين البرامج الضارة بقيم جديدة (w).
تسمح هذه الأوامر للبرامج الضارة JokerSpy بتنفيذ العديد من الإجراءات غير المصرح بها وممارسة السيطرة على النظام المخترق.
كما ورد ، بمجرد اختراق النظام وإصابته ببرنامج ضار مثل JokerSpy ، يكتسب المهاجم سيطرة كبيرة على النظام. ومع ذلك ، مع وجود باب خلفي ، يمكن للمهاجمين تثبيت مكونات إضافية بشكل سري وربما تنفيذ المزيد من عمليات الاستغلال ، ومراقبة إجراءات المستخدمين ، وجمع بيانات اعتماد تسجيل الدخول أو محافظ العملة المشفرة ، وتنفيذ أنشطة ضارة أخرى.
ناقل العدوى غير معروف حاليًا
لا يزال الباحثون غير متأكدين من الطريقة الدقيقة لتركيب JokerSpy. يعتقد البعض اعتقادًا راسخًا أن نقطة الوصول الأولية لهذا البرنامج الضار تضمنت مكونًا إضافيًا غير آمن أو تم اختراقه أو تبعية لطرف ثالث وفرت لممثل التهديد وصولاً غير مصرح به. تتوافق هذه النظرية مع الملاحظات التي أدلى بها باحثو Bitdefender ، الذين وجدوا مجالًا ثابتًا في نسخة من باب خلفي sh.py يربط بالتغريدات التي تناقش قارئ أكواد QR لنظام التشغيل MacOS المصاب بتبعية غير آمنة. ولوحظ أيضًا أن جهة التهديد التي تمت ملاحظتها لديها بالفعل وصول موجود مسبقًا إلى بورصة العملات المشفرة اليابانية.
لتحديد الاستهداف المحتمل بواسطة JokerSpy ، يمكن للأفراد البحث عن مؤشرات محددة. يتضمن ذلك تجزئات التشفير لعينات مختلفة من xcc و sh.py والاتصال بالنطاقات ، مثل git-hub [.] me و app.influmarket [.] org. بينما لم يلاحظ JokerSpy في البداية من قبل معظم محركات الأمان ، يمكن الآن لمجموعة أوسع من المحركات اكتشافه. بينما لا يوجد تأكيد لوجود إصدارات Windows أو Linux من JokerSpy ، فمن الضروري أن تدرك أن هذا الاحتمال موجود.
يقع Cryptocurrency Exchange ضحية لهجوم غير مسبوق ومدمّر لبرامج Mac الضارة لقطة
