다중 라이센스 할인
Computer Security Cryptocurrency Exchange는 전례없는 파괴적인 Mac 맬웨어 공격의 피해자입니다.

Cryptocurrency Exchange는 전례없는 파괴적인 Mac 맬웨어 공격의 피해자입니다.

Computer Security년에 Chance 년까지
번역 :
한국어

최근 발견에서, 연구원들은 암호화폐 거래소를 표적으로 삼아 사용자 자금의 보안에 중대한 위협을 가하는 새로운 종류의 Mac 맬웨어를 발견했습니다. JokerSpy라는 이름의 이 정교한 맬웨어는 데이터 절도, 위협적인 파일 다운로드 및 실행, 잠재적인 교차 플랫폼 기능을 포함한 광범위한 기능을 보여줍니다. Python으로 작성된 JokerSpy는 처음에 합법적인 보안 테스트를 위한 오픈 소스 도구인 SwiftBelt를 활용합니다. JokerSpy의 초기 노출은 보안 보고서를 통해 그 존재를 밝히고 Windows 및 Linux 플랫폼에서 잠재적인 가용성에 대한 우려를 불러일으켰습니다. 이 개발은 암호화폐 거래소의 지속적인 도전과 새로운 위협으로부터 보호하기 위한 강력한 보안 조치에 대한 지속적인 필요성을 강조합니다.

위협 분석

JokerSpy 맬웨어는 특정 엔드포인트 보호 도구가 xcc라는 의심스러운 바이너리 파일을 감지한 후에 나타났습니다. 악성코드의 표적이 된 피해자는 일본에서 잘 알려진 암호화폐 거래소였습니다. xcc 파일이 등장하자 JokerSpy 배후의 해커는 응용 프로그램이 중요한 데이터 및 리소스에 액세스하려면 명시적인 사용자 권한이 필요한 TCC로 알려진 macOS의 보안 보호를 우회하려고 시도했습니다. 공격자는 JokerSpy가 활성화되었을 때 경고가 표시되지 않도록 기존 TCC 데이터베이스를 자체 데이터베이스로 교체했습니다. 이전 공격에서 해커는 TCC 보호의 취약점을 악용하여 이를 우회했으며 연구원들은 유사한 공격을 시연했습니다.

JokerSpy 맬웨어의 기본 엔진에는 승인되지 않은 작업을 허용하고 손상된 시스템에 대한 제어를 제공하는 여러 백도어 기능이 있습니다. 이러한 기능에는 백도어 실행 중지(sk), 지정된 경로의 파일 나열(l), 셸 명령 실행 및 출력 반환(c), 현재 디렉터리 변경 및 새 경로 제공(cd), 내에서 Python 코드 실행이 포함됩니다. 제공된 매개변수(xs)를 사용하여 현재 컨텍스트, Base64로 인코딩된 Python 코드(xsi) 디코딩 및 실행, 시스템에서 파일 또는 디렉터리 제거(r), 매개변수를 사용하거나 사용하지 않고 시스템에서 파일 실행(e), 파일 업로드 감염된 시스템(u), 감염된 시스템에서 파일 다운로드(d), 구성 파일에서 맬웨어의 현재 구성 검색(g), 새 값으로 맬웨어의 구성 파일 재정의(w).

이러한 명령을 통해 JokerSpy 맬웨어는 다양한 무단 작업을 수행하고 손상된 시스템을 제어할 수 있습니다.

보고된 바와 같이 시스템이 손상되고 JokerSpy와 같은 맬웨어에 감염되면 공격자는 시스템에 대한 중요한 제어 권한을 얻습니다. 그러나 백도어를 사용하면 공격자는 추가 구성 요소를 신중하게 설치하고 잠재적으로 추가 익스플로잇을 실행하고, 사용자의 행동을 관찰하고, 로그인 자격 증명 또는 암호 화폐 지갑을 수집하고, 기타 유해한 활동을 수행할 수 있습니다.

현재 알려지지 않은 감염 벡터

연구원들은 JokerSpy의 정확한 설치 방법에 대해 여전히 확신이 없습니다. 일부에서는 이 맬웨어의 초기 액세스 지점이 위협 행위자에게 무단 액세스를 제공하는 안전하지 않거나 손상된 플러그인 또는 타사 종속성과 관련되어 있다고 강력하게 믿고 있습니다. 이 이론은 안전하지 않은 종속성을 가진 감염된 macOS QR 코드 리더에 대해 논의하는 트윗으로 연결되는 sh.py 백도어 버전에서 하드코딩된 도메인을 발견한 Bitdefender 연구원의 관찰과 일치합니다. 또한 관찰된 위협 행위자는 이미 일본 암호화폐 거래소에 대한 기존 액세스 권한을 가지고 있었다는 점도 지적되었습니다.

JokerSpy의 잠재적 표적을 식별하기 위해 개인은 특정 지표를 찾을 수 있습니다. 여기에는 xcc 및 sh.py의 다양한 샘플에 대한 암호화 해시와 git-hub[.]me 및 app.influmarket[.]org와 같은 도메인과의 접촉이 포함됩니다. JokerSpy는 처음에는 대부분의 보안 엔진에서 발견되지 않았지만 이제는 더 넓은 범위의 엔진에서 탐지할 수 있습니다. JokerSpy의 Windows 또는 Linux 버전이 존재한다는 확인은 없지만 이러한 가능성이 존재한다는 사실을 인식하는 것이 중요합니다.

Cryptocurrency Exchange는 전례없는 파괴적인 Mac 맬웨어 공격의 피해자입니다. 스크린샷

로드 중...