صرافی ارزهای دیجیتال قربانی حمله بدافزار بی سابقه و ویرانگر مک شد

در یک کشف اخیر، محققان گونه جدیدی از بدافزار مک را کشف کردند که یک صرافی ارزهای دیجیتال را هدف قرار داده است و تهدیدی قابل توجه برای امنیت سرمایه کاربران است. این بدافزار پیچیده که JokerSpy نام دارد، طیف وسیعی از قابلیت‌ها از جمله سرقت اطلاعات، دانلود و اجرای فایل‌های تهدیدآمیز و قابلیت‌های بین پلتفرمی بالقوه را نشان می‌دهد. JokerSpy که در پایتون نوشته شده است، از SwiftBelt استفاده می کند، ابزاری منبع باز که در ابتدا برای آزمایش امنیتی قانونی در نظر گرفته شده بود. افشای اولیه JokerSpy از طریق یک گزارش امنیتی فاش شد که وجود آن را آشکار کرد و نگرانی‌هایی را در مورد در دسترس بودن بالقوه آن در پلتفرم‌های ویندوز و لینوکس ایجاد کرد. این توسعه چالش‌های جاری صرافی‌های ارز دیجیتال و نیاز دائمی به اقدامات امنیتی قوی برای محافظت در برابر تهدیدات نوظهور را برجسته می‌کند.

آناتومی تهدید

بدافزار JokerSpy پس از شناسایی یک فایل باینری مشکوک به نام xcc توسط یک ابزار محافظت از نقطه پایانی خاص ظاهر شد. قربانی هدف این بدافزار یک صرافی معروف ارزهای دیجیتال در ژاپن بود. هنگامی که فایل xcc ظاهر شد، هکرهای پشت JokerSpy سعی کردند از حفاظت های امنیتی macOS، معروف به TCC، که برای دسترسی برنامه ها به داده ها و منابع حساس به مجوز صریح کاربر نیاز دارد، دور بزنند. عوامل تهدید، پایگاه داده TCC موجود را با پایگاه داده خود جایگزین کردند، احتمالاً برای جلوگیری از نمایش هشدارها هنگام فعال بودن JokerSpy. در حملات قبلی، هکرها از آسیب‌پذیری‌های موجود در حفاظت‌های TCC برای دور زدن آن‌ها سوء استفاده کردند و محققان حملات مشابهی را نشان داده‌اند.

موتور اصلی بدافزار JokerSpy دارای چندین عملکرد در پشتی است که امکان اعمال غیرمجاز را فراهم می کند و کنترل سیستم در معرض خطر را فراهم می کند. این قابلیت ها شامل توقف اجرای درپشتی (sk)، فهرست کردن فایل ها در یک مسیر مشخص (l)، اجرای دستورات پوسته و برگرداندن خروجی (c)، تغییر دایرکتوری فعلی و ارائه مسیر جدید (cd)، اجرای کد پایتون در داخل است. زمینه فعلی با استفاده از پارامتر ارائه شده (xs)، رمزگشایی و اجرای کد پایتون با کد Base64 (xsi)، حذف فایل‌ها یا دایرکتوری‌ها از سیستم (r)، اجرای فایل‌ها از سیستم با یا بدون پارامتر (e)، آپلود فایل‌ها در سیستم آلوده (u)، دانلود فایل‌ها از سیستم آلوده (d)، بازیابی پیکربندی فعلی بدافزار از فایل پیکربندی (g)، و لغو فایل پیکربندی بدافزار با مقادیر جدید (w).

این دستورات به بدافزار JokerSpy اجازه می‌دهد تا اقدامات غیرمجاز مختلفی را انجام دهد و بر سیستم آسیب‌دیده کنترل داشته باشد.

همانطور که گزارش شده است، هنگامی که یک سیستم در معرض خطر قرار می گیرد و با بدافزاری مانند JokerSpy آلوده می شود، مهاجم کنترل قابل توجهی بر سیستم به دست می آورد. با این حال، با درب پشتی، مهاجمان حتی می‌توانند اجزای اضافی را به‌طور محتاطانه نصب کنند و به طور بالقوه سوء استفاده‌های بیشتری را اجرا کنند، اقدامات کاربران را مشاهده کنند، اعتبار ورود یا کیف پول‌های رمزنگاری را جمع‌آوری کنند و سایر فعالیت‌های مضر را انجام دهند.

ناقل عفونت در حال حاضر ناشناخته است

محققان هنوز در مورد روش دقیق نصب JokerSpy مطمئن نیستند. برخی قویاً بر این باورند که نقطه دسترسی اولیه برای این بدافزار شامل یک افزونه ناامن یا آسیب‌دیده یا وابستگی شخص ثالث است که به عامل تهدید دسترسی غیرمجاز می‌دهد. این نظریه با مشاهدات انجام شده توسط محققان Bitdefender مطابقت دارد که یک دامنه رمزگذاری شده را در نسخه‌ای از درپشتی sh.py یافتند که به توییت‌هایی پیوند می‌خورد که در مورد یک کدخوان QR آلوده macOS با وابستگی ناامن صحبت می‌کردند. همچنین اشاره شد که عامل تهدید مشاهده شده قبلاً به صرافی ارزهای دیجیتال ژاپن دسترسی داشته است.

برای شناسایی هدف گیری بالقوه توسط JokerSpy، افراد می توانند به دنبال شاخص های خاص باشند. این موارد شامل هش رمزنگاری نمونه‌های مختلف xcc و sh.py و تماس با دامنه‌هایی مانند git-hub[.]me و app.influmarket[.]org است. در حالی که JokerSpy در ابتدا مورد توجه اکثر موتورهای امنیتی قرار نگرفت، اکنون طیف وسیع تری از موتورها می توانند آن را شناسایی کنند. در حالی که هیچ تاییدی مبنی بر وجود نسخه های ویندوز یا لینوکس JokerSpy وجود ندارد، لازم است بدانید که این امکان وجود دارد.

صرافی ارزهای دیجیتال قربانی حمله بدافزار بی سابقه و ویرانگر مک شد اسکرین شات