Pertukaran Matawang Kripto Menjadi Mangsa kepada Serangan Perisian Hasad Mac yang Tidak Pernah Pernah Terjadi dan Memusnahkan
Dalam penemuan baru-baru ini, para penyelidik telah menemui jenis perisian hasad Mac baharu yang menyasarkan pertukaran mata wang kripto, yang menimbulkan ancaman besar kepada keselamatan dana pengguna. Perisian hasad yang canggih ini, bernama JokerSpy, mempamerkan pelbagai keupayaan, termasuk kecurian data, memuat turun dan melaksanakan fail yang mengancam, dan potensi kefungsian merentas platform. Ditulis dalam Python, JokerSpy memanfaatkan SwiftBelt, alat sumber terbuka yang pada mulanya bertujuan untuk ujian keselamatan yang sah. Pendedahan awal JokerSpy terbongkar melalui laporan keselamatan, mendedahkan kewujudannya dan menimbulkan kebimbangan mengenai potensi ketersediaannya pada platform Windows dan Linux. Perkembangan ini menyerlahkan cabaran berterusan pertukaran mata wang kripto dan keperluan berterusan untuk langkah keselamatan yang teguh untuk melindungi daripada ancaman yang muncul.
Isi kandungan
Anatomi Ancaman
Malware JokerSpy muncul selepas alat perlindungan titik akhir tertentu mengesan fail binari yang mencurigakan yang dipanggil xcc. Mangsa yang disasarkan oleh perisian hasad adalah pertukaran mata wang kripto yang terkenal di Jepun. Sebaik sahaja fail xcc muncul, penggodam di belakang JokerSpy cuba memintas perlindungan keselamatan macOS, yang dikenali sebagai TCC, yang memerlukan kebenaran pengguna yang jelas untuk aplikasi mengakses data dan sumber sensitif. Pelakon ancaman menggantikan pangkalan data TCC sedia ada dengan pangkalan data mereka sendiri, berkemungkinan menghalang amaran daripada muncul apabila JokerSpy aktif. Dalam serangan sebelumnya, penggodam mengeksploitasi kelemahan dalam perlindungan TCC untuk memintasnya, dan penyelidik telah menunjukkan serangan yang serupa.
Enjin utama perisian hasad JokerSpy mempunyai pelbagai fungsi pintu belakang yang membenarkan tindakan yang tidak dibenarkan dan memberikan kawalan ke atas sistem yang terjejas. Fungsi ini termasuk menghentikan pelaksanaan pintu belakang (sk), menyenaraikan fail dalam laluan tertentu (l), melaksanakan arahan shell dan mengembalikan output (c), menukar direktori semasa dan menyediakan laluan baharu (cd), melaksanakan kod Python dalam konteks semasa menggunakan parameter yang disediakan (xs), menyahkod dan melaksanakan kod Python berkod Base64 (xsi), mengalih keluar fail atau direktori daripada sistem (r), melaksanakan fail daripada sistem dengan atau tanpa parameter (e), memuat naik fail ke sistem yang dijangkiti (u), memuat turun fail daripada sistem yang dijangkiti (d), mendapatkan semula konfigurasi perisian hasad semasa daripada fail konfigurasi (g) dan mengatasi fail konfigurasi perisian hasad dengan nilai baharu (w).
Arahan ini membenarkan perisian hasad JokerSpy melakukan pelbagai tindakan yang tidak dibenarkan dan mengawal sistem yang terjejas.
Seperti yang dilaporkan, sebaik sahaja sistem dikompromi dan dijangkiti dengan perisian hasad seperti JokerSpy, penyerang mendapat kawalan yang ketara ke atas sistem tersebut. Walau bagaimanapun, dengan pintu belakang, penyerang juga boleh memasang komponen tambahan secara berhati-hati dan berpotensi melaksanakan eksploitasi selanjutnya, memerhati tindakan pengguna, mengumpul bukti kelayakan log masuk atau dompet mata wang kripto dan menjalankan aktiviti berbahaya yang lain.
Vektor Jangkitan Pada Masa Ini Tidak Diketahui
Penyelidik masih tidak pasti tentang kaedah tepat pemasangan JokerSpy. Sesetengah pihak percaya bahawa titik akses awal untuk perisian hasad ini melibatkan pemalam yang tidak selamat atau terjejas atau pergantungan pihak ketiga yang memberikan pelakon ancaman akses tanpa kebenaran. Teori ini sejajar dengan pemerhatian yang dibuat oleh penyelidik Bitdefender, yang menemui domain berkod keras dalam versi pintu belakang sh.py yang memaut ke tweet membincangkan pembaca kod QR macOS yang dijangkiti dengan pergantungan yang tidak selamat. Ia juga diperhatikan bahawa aktor ancaman yang diperhatikan sudah mempunyai akses sedia ada kepada pertukaran mata wang kripto Jepun.
Untuk mengenal pasti penyasaran yang berpotensi oleh JokerSpy, individu boleh mencari penunjuk tertentu. Ini termasuk cincangan kriptografi bagi sampel xcc dan sh.py yang berbeza serta hubungan dengan domain, seperti git-hub[.]me dan app.influmarket[.]org. Walaupun JokerSpy pada mulanya tidak disedari oleh kebanyakan enjin keselamatan, rangkaian enjin yang lebih luas kini boleh mengesannya. Walaupun tiada pengesahan tentang kewujudan versi Windows atau Linux JokerSpy, adalah penting untuk menyedari bahawa kemungkinan ini wujud.
Pertukaran Matawang Kripto Menjadi Mangsa kepada Serangan Perisian Hasad Mac yang Tidak Pernah Pernah Terjadi dan Memusnahkan Tangkapan skrin
