Trao đổi tiền điện tử trở thành nạn nhân của cuộc tấn công phần mềm độc hại Mac chưa từng có và tàn khốc
Trong một phát hiện gần đây, các nhà nghiên cứu đã phát hiện ra một dòng phần mềm độc hại Mac mới đã nhắm mục tiêu trao đổi tiền điện tử, gây ra mối đe dọa đáng kể đối với tính bảo mật của tiền của người dùng. Phần mềm độc hại phức tạp này, có tên là JokerSpy, thể hiện nhiều khả năng, bao gồm đánh cắp dữ liệu, tải xuống và thực thi các tệp đe dọa cũng như chức năng đa nền tảng tiềm năng. Được viết bằng Python, JokerSpy tận dụng SwiftBelt, một công cụ mã nguồn mở ban đầu dành cho thử nghiệm bảo mật hợp pháp. Sự phơi bày ban đầu của JokerSpy được đưa ra ánh sáng thông qua một báo cáo bảo mật, tiết lộ sự tồn tại của nó và gây lo ngại về khả năng sẵn có của nó trên nền tảng Windows và Linux. Sự phát triển này làm nổi bật những thách thức đang diễn ra của các sàn giao dịch tiền điện tử và nhu cầu liên tục về các biện pháp bảo mật mạnh mẽ để bảo vệ chống lại các mối đe dọa mới nổi.
Mục lục
Giải phẫu của mối đe dọa
Phần mềm độc hại JokerSpy xuất hiện sau khi một công cụ bảo vệ điểm cuối cụ thể phát hiện một tệp nhị phân đáng ngờ có tên xcc. Nạn nhân bị phần mềm độc hại nhắm đến là một sàn giao dịch tiền điện tử nổi tiếng ở Nhật Bản. Sau khi tệp xcc xuất hiện, các tin tặc đứng sau JokerSpy đã cố gắng vượt qua các biện pháp bảo vệ bảo mật của macOS, được gọi là TCC, yêu cầu sự cho phép rõ ràng của người dùng đối với các ứng dụng để truy cập dữ liệu và tài nguyên nhạy cảm. Các tác nhân đe dọa đã thay thế cơ sở dữ liệu TCC hiện có bằng cơ sở dữ liệu của riêng chúng, có khả năng ngăn cảnh báo xuất hiện khi JokerSpy hoạt động. Trong các cuộc tấn công trước đây, tin tặc đã khai thác các lỗ hổng trong các biện pháp bảo vệ TCC để vượt qua chúng và các nhà nghiên cứu đã chứng minh các cuộc tấn công tương tự.
Động cơ chính của phần mềm độc hại JokerSpy có nhiều chức năng cửa hậu cho phép các hành động trái phép và cung cấp quyền kiểm soát hệ thống bị xâm nhập. Các chức năng này bao gồm dừng thực thi cửa hậu (sk), liệt kê các tệp trong một đường dẫn cụ thể (l), thực thi các lệnh shell và trả về đầu ra (c), thay đổi thư mục hiện tại và cung cấp đường dẫn mới (cd), thực thi mã Python bên trong bối cảnh hiện tại sử dụng tham số được cung cấp (xs), giải mã và thực thi mã Python được mã hóa Base64 (xsi), xóa tệp hoặc thư mục khỏi hệ thống (r), thực thi tệp từ hệ thống có hoặc không có tham số (e), tải tệp lên hệ thống bị nhiễm (u), tải xuống các tệp từ hệ thống bị nhiễm (d), truy xuất cấu hình hiện tại của phần mềm độc hại từ tệp cấu hình (g) và ghi đè tệp cấu hình của phần mềm độc hại bằng các giá trị mới (w).
Các lệnh này cho phép phần mềm độc hại JokerSpy thực hiện nhiều hành động trái phép khác nhau và kiểm soát hệ thống bị xâm nhập.
Như đã báo cáo, một khi hệ thống bị xâm nhập và bị nhiễm phần mềm độc hại như JokerSpy, kẻ tấn công sẽ giành được quyền kiểm soát đáng kể đối với hệ thống. Tuy nhiên, với một cửa hậu, những kẻ tấn công thậm chí có thể cài đặt các thành phần bổ sung một cách kín đáo và có khả năng thực hiện các hành vi khai thác tiếp theo, quan sát hành động của người dùng, thu thập thông tin đăng nhập hoặc ví tiền điện tử và thực hiện các hoạt động có hại khác.
Véc tơ truyền nhiễm hiện chưa rõ
Các nhà nghiên cứu vẫn chưa chắc chắn về phương pháp cài đặt chính xác của JokerSpy. Một số người tin tưởng chắc chắn rằng điểm truy cập ban đầu của phần mềm độc hại này liên quan đến plugin không an toàn hoặc bị xâm phạm hoặc phần phụ thuộc của bên thứ ba đã cung cấp cho tác nhân đe dọa quyền truy cập trái phép. Lý thuyết này phù hợp với các quan sát được thực hiện bởi các nhà nghiên cứu của Bitdefender, những người đã tìm thấy một miền được mã hóa cứng trong một phiên bản của cửa hậu sh.py liên kết với các tweet thảo luận về trình đọc mã QR macOS bị nhiễm có phần phụ thuộc không an toàn. Người ta cũng lưu ý rằng tác nhân đe dọa được quan sát đã có quyền truy cập từ trước vào sàn giao dịch tiền điện tử của Nhật Bản.
Để xác định mục tiêu tiềm năng của JokerSpy, các cá nhân có thể tìm kiếm các chỉ số cụ thể. Chúng bao gồm các hàm băm mật mã của các mẫu xcc và sh.py khác nhau và liên hệ với các miền, chẳng hạn như git-hub[.]me và app.influmarket[.]org. Mặc dù JokerSpy ban đầu không được hầu hết các công cụ bảo mật chú ý, nhưng giờ đây một loạt công cụ rộng hơn có thể phát hiện ra nó. Mặc dù không có xác nhận nào về sự tồn tại của các phiên bản JokerSpy dành cho Windows hoặc Linux, nhưng điều cần thiết là phải biết rằng khả năng này tồn tại.
Trao đổi tiền điện tử trở thành nạn nhân của cuộc tấn công phần mềm độc hại Mac chưa từng có và tàn khốc ảnh chụp màn hình
