क्रिप्टोक्यूरेंसी एक्सचेंज अभूतपूर्व और विनाशकारी मैक मैलवेयर हमले का शिकार हो गया
एक हालिया खोज में, शोधकर्ताओं ने मैक मैलवेयर के एक नए प्रकार का खुलासा किया है जिसने एक क्रिप्टोकरेंसी एक्सचेंज को लक्षित किया है, जो उपयोगकर्ताओं के धन की सुरक्षा के लिए एक महत्वपूर्ण खतरा पैदा करता है। जोकरस्पाई नाम का यह परिष्कृत मैलवेयर, डेटा चोरी, खतरनाक फ़ाइलों को डाउनलोड करने और निष्पादित करने और संभावित क्रॉस-प्लेटफ़ॉर्म कार्यक्षमता सहित क्षमताओं की एक विस्तृत श्रृंखला प्रदर्शित करता है। पायथन में लिखा गया, जोकरस्पाई स्विफ्टबेल्ट का लाभ उठाता है, जो एक ओपन-सोर्स टूल है जो शुरू में वैध सुरक्षा परीक्षण के लिए बनाया गया था। जोकरस्पाई का प्रारंभिक प्रदर्शन एक सुरक्षा रिपोर्ट के माध्यम से सामने आया, जिससे इसके अस्तित्व का पता चला और विंडोज और लिनक्स प्लेटफार्मों पर इसकी संभावित उपलब्धता के बारे में चिंताएं बढ़ गईं। यह विकास क्रिप्टोकरेंसी एक्सचेंजों की चल रही चुनौतियों और उभरते खतरों से सुरक्षा के लिए मजबूत सुरक्षा उपायों की निरंतर आवश्यकता पर प्रकाश डालता है।
विषयसूची
खतरे की शारीरिक रचना
जोकरस्पाई मैलवेयर एक विशेष एंडपॉइंट सुरक्षा उपकरण द्वारा xcc नामक एक संदिग्ध बाइनरी फ़ाइल का पता लगाने के बाद उभरा। मैलवेयर द्वारा लक्षित शिकार जापान में एक प्रसिद्ध क्रिप्टोकरेंसी एक्सचेंज था। एक बार xcc फ़ाइल सामने आने के बाद, जोकरस्पाई के पीछे के हैकर्स ने macOS की सुरक्षा सुरक्षा को बायपास करने का प्रयास किया, जिसे TCC के रूप में जाना जाता है, जिसके लिए संवेदनशील डेटा और संसाधनों तक पहुंचने के लिए अनुप्रयोगों के लिए स्पष्ट उपयोगकर्ता अनुमति की आवश्यकता होती है। धमकी देने वाले अभिनेताओं ने मौजूदा टीसीसी डेटाबेस को अपने साथ बदल दिया, जिससे जोकरस्पाई सक्रिय होने पर अलर्ट प्रदर्शित होने से रोका जा सके। पिछले हमलों में, हैकर्स ने उन्हें बायपास करने के लिए टीसीसी सुरक्षा में कमजोरियों का फायदा उठाया और शोधकर्ताओं ने इसी तरह के हमलों का प्रदर्शन किया है।
जोकरस्पाई मैलवेयर के मुख्य इंजन में कई पिछले दरवाजे की कार्यक्षमताएं हैं जो अनधिकृत कार्यों की अनुमति देती हैं और समझौता किए गए सिस्टम पर नियंत्रण प्रदान करती हैं। इन कार्यात्मकताओं में पिछले दरवाजे (एसके) के निष्पादन को रोकना, एक निर्दिष्ट पथ (एल) में फ़ाइलों को सूचीबद्ध करना, शेल कमांड निष्पादित करना और आउटपुट (सी) लौटाना, वर्तमान निर्देशिका को बदलना और नया पथ (सीडी) प्रदान करना, पायथन कोड को निष्पादित करना शामिल है। दिए गए पैरामीटर (xs) का उपयोग करके वर्तमान संदर्भ, बेस 64-एन्कोडेड पायथन कोड (xsi) को डिकोड करना और निष्पादित करना, सिस्टम से फ़ाइलों या निर्देशिकाओं को हटाना (r), सिस्टम से फ़ाइलों को पैरामीटर के साथ या बिना पैरामीटर के निष्पादित करना (e), फ़ाइलों को अपलोड करना संक्रमित सिस्टम (यू), संक्रमित सिस्टम (डी) से फ़ाइलें डाउनलोड करना, कॉन्फ़िगरेशन फ़ाइल (जी) से मैलवेयर की वर्तमान कॉन्फ़िगरेशन को पुनर्प्राप्त करना, और नए मानों (डब्ल्यू) के साथ मैलवेयर की कॉन्फ़िगरेशन फ़ाइल को ओवरराइड करना।
ये आदेश जोकरस्पाई मैलवेयर को विभिन्न अनधिकृत कार्य करने और समझौता किए गए सिस्टम पर नियंत्रण स्थापित करने की अनुमति देते हैं।
जैसा कि बताया गया है, एक बार जब सिस्टम से समझौता हो जाता है और जोकरस्पाई जैसे मैलवेयर से संक्रमित हो जाता है, तो हमलावर सिस्टम पर महत्वपूर्ण नियंत्रण हासिल कर लेता है। हालांकि, पिछले दरवाजे के साथ, हमलावर अतिरिक्त घटकों को भी विवेकपूर्वक स्थापित कर सकते हैं और संभावित रूप से आगे के कारनामों को अंजाम दे सकते हैं, उपयोगकर्ताओं के कार्यों का निरीक्षण कर सकते हैं, लॉगिन क्रेडेंशियल या क्रिप्टोकरेंसी वॉलेट एकत्र कर सकते हैं और अन्य हानिकारक गतिविधियों को अंजाम दे सकते हैं।
संक्रमण वेक्टर फिलहाल अज्ञात है
जोकरस्पाई की स्थापना की सटीक विधि के बारे में शोधकर्ता अभी भी अनिश्चित हैं। कुछ लोगों का दृढ़ता से मानना है कि इस मैलवेयर के प्रारंभिक पहुंच बिंदु में एक असुरक्षित या समझौता किए गए प्लगइन या तीसरे पक्ष की निर्भरता शामिल थी जो खतरे वाले अभिनेता को अनधिकृत पहुंच प्रदान करती थी। यह सिद्धांत बिटडेफ़ेंडर शोधकर्ताओं द्वारा की गई टिप्पणियों के साथ संरेखित है, जिन्होंने असुरक्षित निर्भरता वाले संक्रमित macOS QR कोड रीडर पर चर्चा करने वाले ट्वीट्स से लिंक करने वाले sh.py बैकडोर के एक संस्करण में एक हार्डकोडेड डोमेन पाया। यह भी नोट किया गया कि देखे गए खतरे वाले अभिनेता के पास पहले से ही जापानी क्रिप्टोकरेंसी एक्सचेंज तक पहुंच थी।
जोकरस्पाई द्वारा संभावित लक्ष्यीकरण की पहचान करने के लिए, व्यक्ति विशिष्ट संकेतकों की तलाश कर सकते हैं। इनमें xcc और sh.py के विभिन्न नमूनों के क्रिप्टोग्राफ़िक हैश और git-hub[.]me और app.influmarket[.]org जैसे डोमेन के साथ संपर्क शामिल हैं। जबकि जोकरस्पाई शुरू में अधिकांश सुरक्षा इंजनों द्वारा ध्यान नहीं दिया गया था, अब इंजनों की एक विस्तृत श्रृंखला इसका पता लगा सकती है। हालाँकि जोकरस्पाई के विंडोज़ या लिनक्स संस्करणों के अस्तित्व की कोई पुष्टि नहीं है, लेकिन यह जानना आवश्यक है कि यह संभावना मौजूद है।
क्रिप्टोक्यूरेंसी एक्सचेंज अभूतपूर्व और विनाशकारी मैक मैलवेयर हमले का शिकार हो गया स्क्रीनशॉट
