Ang Cryptocurrency Exchange ay Nahulog sa Biktima sa Walang Katulad at Mapangwasak na Pag-atake ng Mac Malware
Sa isang kamakailang pagtuklas, natuklasan ng mga mananaliksik ang isang bagong strain ng Mac malware na nag-target ng isang cryptocurrency exchange, na nagdudulot ng malaking banta sa seguridad ng mga pondo ng mga user. Ang sopistikadong malware na ito, na pinangalanang JokerSpy, ay nagpapakita ng malawak na hanay ng mga kakayahan, kabilang ang pagnanakaw ng data, pag-download at pag-execute ng mga nagbabantang file, at potensyal na cross-platform na functionality. Nakasulat sa Python, ginagamit ng JokerSpy ang SwiftBelt, isang open-source na tool na unang inilaan para sa lehitimong pagsubok sa seguridad. Ang unang pagkakalantad ng JokerSpy ay nahayag sa pamamagitan ng isang ulat sa seguridad, na nagbubunyag ng pagkakaroon nito at nagpapataas ng mga alalahanin tungkol sa potensyal na pagkakaroon nito sa mga platform ng Windows at Linux. Itinatampok ng pag-unlad na ito ang mga patuloy na hamon ng mga palitan ng cryptocurrency at ang patuloy na pangangailangan para sa matatag na mga hakbang sa seguridad upang mapangalagaan laban sa mga umuusbong na banta.
Talaan ng mga Nilalaman
Anatomy of the Threat
Ang JokerSpy malware ay lumitaw pagkatapos ng isang partikular na endpoint protection tool na naka-detect ng isang kahina-hinalang binary file na tinatawag na xcc. Ang biktima na tinarget ng malware ay isang kilalang cryptocurrency exchange sa Japan. Sa sandaling lumitaw ang xcc file, sinubukan ng mga hacker sa likod ng JokerSpy na i-bypass ang mga proteksyon sa seguridad ng macOS, na kilala bilang TCC, na nangangailangan ng tahasang pahintulot ng user para sa mga application na ma-access ang sensitibong data at mapagkukunan. Pinalitan ng mga banta ng aktor ang umiiral na database ng TCC ng kanilang sarili, malamang na pigilan ang mga alerto sa paglitaw kapag aktibo ang JokerSpy. Sa mga nakaraang pag-atake, sinamantala ng mga hacker ang mga kahinaan sa mga proteksyon ng TCC upang laktawan ang mga ito, at ang mga mananaliksik ay nagpakita ng mga katulad na pag-atake.
Ang pangunahing makina ng JokerSpy malware ay may maraming backdoor functionality na nagbibigay-daan sa mga hindi awtorisadong aksyon at nagbibigay ng kontrol sa nakompromisong system. Kasama sa mga pag-andar na ito ang pagpapahinto sa pagpapatupad ng backdoor (sk), paglilista ng mga file sa isang tinukoy na landas (l), pagpapatupad ng mga command ng shell at pagbabalik ng output (c), pagpapalit ng kasalukuyang direktoryo at pagbibigay ng bagong landas (cd), pag-execute ng Python code sa loob ang kasalukuyang konteksto gamit ang ibinigay na parameter (xs), pag-decode at pagpapatupad ng Base64-encoded Python code (xsi), pag-aalis ng mga file o direktoryo mula sa system (r), pag-execute ng mga file mula sa system na mayroon o walang mga parameter (e), pag-upload ng mga file sa ang infected system (u), ang pag-download ng mga file mula sa infected na system (d), pagbawi ng kasalukuyang configuration ng malware mula sa configuration file (g), at pag-override ng configuration file ng malware gamit ang mga bagong value (w).
Ang mga utos na ito ay nagbibigay-daan sa JokerSpy malware na magsagawa ng iba't ibang hindi awtorisadong pagkilos at magsagawa ng kontrol sa nakompromisong sistema.
Tulad ng iniulat, kapag ang isang system ay nakompromiso at nahawahan ng isang malware tulad ng JokerSpy, ang umaatake ay magkakaroon ng makabuluhang kontrol sa system. Sa pamamagitan ng backdoor, gayunpaman, ang mga attacker ay maaaring mag-install ng mga karagdagang bahagi nang maingat at potensyal na magsagawa ng higit pang mga pagsasamantala, obserbahan ang mga aksyon ng mga user, mangolekta ng mga kredensyal sa pag-log in o cryptocurrency wallet, at magsagawa ng iba pang nakakapinsalang aktibidad.
Infection Vector Kasalukuyang Hindi Alam
Ang mga mananaliksik ay hindi pa rin sigurado tungkol sa tumpak na paraan ng pag-install ng JokerSpy. Malaki ang paniniwala ng ilan na ang paunang access point para sa malware na ito ay nagsasangkot ng hindi ligtas o nakompromisong plugin o third-party na dependency na nagbigay sa banta ng aktor ng hindi awtorisadong pag-access. Ang teoryang ito ay umaayon sa mga obserbasyon na ginawa ng mga mananaliksik ng Bitdefender, na nakakita ng isang hardcoded na domain sa isang bersyon ng sh.py backdoor na nagli-link sa mga tweet na tumatalakay sa isang nahawaang macOS QR code reader na may hindi ligtas na dependency. Napansin din na ang naobserbahang threat actor ay mayroon nang dati nang access sa Japanese cryptocurrency exchange.
Upang matukoy ang potensyal na pag-target ng JokerSpy, ang mga indibidwal ay maaaring maghanap ng mga partikular na tagapagpahiwatig. Kabilang dito ang mga cryptographic na hash ng iba't ibang sample ng xcc at sh.py at contact sa mga domain, gaya ng git-hub[.]me at app.influmarket[.]org. Habang ang JokerSpy sa una ay hindi napansin ng karamihan sa mga makina ng seguridad, ang isang mas malawak na hanay ng mga makina ay maaari na ngayong makakita nito. Bagama't walang kumpirmasyon ng pagkakaroon ng Windows o Linux na mga bersyon ng JokerSpy, mahalagang malaman na ang posibilidad na ito ay umiiral.
Ang Cryptocurrency Exchange ay Nahulog sa Biktima sa Walang Katulad at Mapangwasak na Pag-atake ng Mac Malware Mga screenshot
