Cryptocurrency Exchange ตกเป็นเหยื่อของการโจมตีจากมัลแวร์ Mac ที่ไม่เคยมีมาก่อนและทำลายล้าง
ในการค้นพบเมื่อเร็วๆ นี้ นักวิจัยได้ค้นพบมัลแวร์ Mac สายพันธุ์ใหม่ซึ่งกำหนดเป้าหมายไปที่การแลกเปลี่ยนสกุลเงินดิจิทัล ซึ่งเป็นภัยคุกคามที่สำคัญต่อความปลอดภัยของเงินทุนของผู้ใช้ มัลแวร์ที่ซับซ้อนนี้มีชื่อว่า JokerSpy แสดงความสามารถที่หลากหลาย รวมถึงการโจรกรรมข้อมูล การดาวน์โหลดและเรียกใช้ไฟล์ที่คุกคาม และการทำงานข้ามแพลตฟอร์มที่เป็นไปได้ JokerSpy เขียนด้วย Python ใช้ประโยชน์จาก SwiftBelt ซึ่งเป็นเครื่องมือโอเพ่นซอร์สที่เดิมมีไว้สำหรับการทดสอบความปลอดภัยที่ถูกต้องตามกฎหมาย การเปิดเผย JokerSpy ครั้งแรกเกิดขึ้นผ่านรายงานความปลอดภัย เผยให้เห็นการมีอยู่ของมันและทำให้เกิดความกังวลเกี่ยวกับความพร้อมใช้งานที่เป็นไปได้บนแพลตฟอร์ม Windows และ Linux การพัฒนานี้เน้นย้ำถึงความท้าทายอย่างต่อเนื่องของการแลกเปลี่ยน cryptocurrency และความต้องการอย่างต่อเนื่องสำหรับมาตรการรักษาความปลอดภัยที่แข็งแกร่งเพื่อป้องกันภัยคุกคามที่เกิดขึ้นใหม่
สารบัญ
กายวิภาคของภัยคุกคาม
มัลแวร์ JokerSpy เกิดขึ้นหลังจากเครื่องมือป้องกันปลายทางตรวจพบไฟล์ไบนารีที่น่าสงสัยชื่อ xcc เหยื่อที่ตกเป็นเป้าหมายของมัลแวร์คือการแลกเปลี่ยน cryptocurrency ที่รู้จักกันดีในญี่ปุ่น เมื่อไฟล์ xcc ปรากฏขึ้น แฮ็กเกอร์ที่อยู่เบื้องหลัง JokerSpy พยายามที่จะข้ามการป้องกันความปลอดภัยของ macOS หรือที่เรียกว่า TCC ซึ่งจำเป็นต้องได้รับอนุญาตจากผู้ใช้อย่างชัดแจ้งเพื่อให้แอปพลิเคชันเข้าถึงข้อมูลและทรัพยากรที่ละเอียดอ่อน ผู้คุกคามแทนที่ฐานข้อมูล TCC ที่มีอยู่ด้วยตัวพวกเขาเอง ซึ่งน่าจะป้องกันการแจ้งเตือนไม่ให้ปรากฏขึ้นเมื่อ JokerSpy ทำงานอยู่ ในการโจมตีครั้งก่อน แฮ็กเกอร์ใช้ช่องโหว่ในการป้องกัน TCC เพื่อเลี่ยงผ่านช่องโหว่ และนักวิจัยได้แสดงการโจมตีที่คล้ายกัน
เอ็นจิ้นหลักของมัลแวร์ JokerSpy มีฟังก์ชันแบ็คดอร์หลายตัวที่อนุญาตการกระทำที่ไม่ได้รับอนุญาตและให้การควบคุมระบบที่ถูกบุกรุก ฟังก์ชันการทำงานเหล่านี้รวมถึงการหยุดการทำงานของแบ็คดอร์ (sk) การแสดงรายการไฟล์ในเส้นทางที่ระบุ (l) การดำเนินการคำสั่งเชลล์และส่งคืนเอาต์พุต (c) การเปลี่ยนไดเร็กทอรีปัจจุบันและระบุเส้นทางใหม่ (cd) การดำเนินการโค้ด Python ภายใน บริบทปัจจุบันโดยใช้พารามิเตอร์ที่ให้มา (xs) การถอดรหัสและการดำเนินการโค้ด Python ที่เข้ารหัส Base64 (xsi) การลบไฟล์หรือไดเร็กทอรีออกจากระบบ (r) การเรียกใช้ไฟล์จากระบบโดยมีหรือไม่มีพารามิเตอร์ (e) การอัปโหลดไฟล์ไปยัง ระบบที่ติดไวรัส (u) ดาวน์โหลดไฟล์จากระบบที่ติดไวรัส (d) ดึงการกำหนดค่าปัจจุบันของมัลแวร์จากไฟล์กำหนดค่า (g) และแทนที่ไฟล์การกำหนดค่าของมัลแวร์ด้วยค่าใหม่ (w)
คำสั่งเหล่านี้อนุญาตให้มัลแวร์ JokerSpy ดำเนินการต่างๆ ที่ไม่ได้รับอนุญาตและพยายามควบคุมระบบที่ถูกบุกรุก
ตามที่รายงาน เมื่อระบบถูกโจมตีและติดมัลแวร์อย่าง JokerSpy ผู้โจมตีจะสามารถควบคุมระบบได้อย่างมีนัยสำคัญ อย่างไรก็ตาม ด้วยแบ็คดอร์ ผู้โจมตีสามารถติดตั้งส่วนประกอบเพิ่มเติมได้อย่างรอบคอบและอาจดำเนินการหาประโยชน์เพิ่มเติม สังเกตการกระทำของผู้ใช้ รวบรวมข้อมูลการเข้าสู่ระบบหรือกระเป๋าเงินดิจิตอล และดำเนินกิจกรรมที่เป็นอันตรายอื่นๆ
ไม่ทราบเวกเตอร์การติดเชื้อในขณะนี้
นักวิจัยยังคงไม่แน่ใจเกี่ยวกับวิธีการติดตั้ง JokerSpy ที่แม่นยำ บางคนเชื่ออย่างยิ่งว่าจุดเชื่อมต่อเริ่มต้นสำหรับมัลแวร์นี้เกี่ยวข้องกับปลั๊กอินที่ไม่ปลอดภัยหรือถูกบุกรุกหรือการพึ่งพาของบุคคลที่สามซึ่งทำให้ผู้คุกคามเข้าถึงโดยไม่ได้รับอนุญาต ทฤษฎีนี้สอดคล้องกับข้อสังเกตของนักวิจัย Bitdefender ซึ่งพบโดเมนแบบฮาร์ดโค้ดในเวอร์ชันของ sh.py แบ็คดอร์ที่เชื่อมโยงไปยังทวีตที่พูดถึงเครื่องอ่านโค้ด macOS QR ที่ติดไวรัสซึ่งมีการพึ่งพาที่ไม่ปลอดภัย นอกจากนี้ยังมีข้อสังเกตด้วยว่าผู้คุกคามที่สังเกตได้นั้นสามารถเข้าถึงการแลกเปลี่ยน cryptocurrency ของญี่ปุ่นที่มีอยู่แล้ว
ในการระบุการกำหนดเป้าหมายที่เป็นไปได้โดย JokerSpy แต่ละคนสามารถมองหาตัวบ่งชี้เฉพาะได้ ซึ่งรวมถึงแฮชการเข้ารหัสของตัวอย่างต่างๆ ของ xcc และ sh.py และการติดต่อกับโดเมน เช่น git-hub[.]me และ app.influmarket[.]org แม้ว่า JokerSpy ในตอนแรกจะไม่มีใครสังเกตเห็นโดยเอ็นจิ้นการรักษาความปลอดภัยส่วนใหญ่ แต่ตอนนี้เอนจิ้นที่หลากหลายสามารถตรวจจับมันได้แล้ว แม้ว่าจะไม่มีการยืนยันการมีอยู่ของ JokerSpy เวอร์ชัน Windows หรือ Linux แต่สิ่งสำคัญคือต้องระวังว่ามีความเป็นไปได้นี้อยู่
Cryptocurrency Exchange ตกเป็นเหยื่อของการโจมตีจากมัลแวร์ Mac ที่ไม่เคยมีมาก่อนและทำลายล้าง ภาพหน้าจอ
