加密货币交易所遭受前所未有的毁灭性 Mac 恶意软件攻击

在最近的一项发现中，研究人员发现了一种新的 Mac 恶意软件，该恶意软件以加密货币交易所为目标，对用户资金的安全构成重大威胁。这种名为 JokerSpy 的复杂恶意软件具有广泛的功能，包括数据盗窃、下载和执行威胁文件以及潜在的跨平台功能。 JokerSpy 用 Python 编写，利用 SwiftBelt，这是一种最初用于合法安全测试的开源工具。 JokerSpy 的最初曝光是通过一份安全报告曝光的，揭示了它的存在，并引起了人们对其在 Windows 和 Linux 平台上的潜在可用性的担忧。这一发展凸显了加密货币交易所持续面临的挑战以及对强有力的安全措施的持续需求，以防范新出现的威胁。

威胁剖析

JokerSpy 恶意软件是在特定端点保护工具检测到名为 xcc 的可疑二进制文件后出现的。该恶意软件的目标受害者是日本一家知名的加密货币交易所。 xcc 文件出现后，JokerSpy 背后的黑客就试图绕过 macOS 的安全保护（称为 TCC），该保护要求应用程序获得明确的用户权限才能访问敏感数据和资源。威胁行为者用自己的数据库替换了现有的 TCC 数据库，可能会阻止在 JokerSpy 处于活动状态时出现警报。在之前的攻击中，黑客利用 TCC 保护中的漏洞来绕过它们，研究人员也展示了类似的攻击。

JokerSpy 恶意软件的主引擎具有多个后门功能，允许未经授权的操作并提供对受感染系统的控制。这些功能包括停止后门的执行（sk）、列出指定路径中的文件（l）、执行shell命令并返回输出（c）、更改当前目录并提供新路径（cd）、执行其中的Python代码使用提供的参数 (xs) 获取当前上下文，解码并执行 Base64 编码的 Python 代码 (xsi)，从系统中删除文件或目录 (r)，使用或不使用参数从系统中执行文件 (e)，将文件上传到受感染的系统（u），从受感染的系统（d）下载文件，从配置文件（g）检索恶意软件的当前配置，并使用新值覆盖恶意软件的配置文件（w）。

这些命令允许 JokerSpy 恶意软件执行各种未经授权的操作并对受感染的系统施加控制。

据报道，一旦系统遭到破坏并感染了 JokerSpy 等恶意软件，攻击者就会获得对系统的重大控制权。然而，通过后门，攻击者甚至可以谨慎地安装额外的组件，并可能执行进一步的攻击、观察用户的操作、收集登录凭据或加密货币钱包，以及执行其他有害活动。

目前未知的感染媒介

研究人员仍不确定 JokerSpy 的精确安装方法。一些人坚信，该恶意软件的初始访问点涉及不安全或受损的插件或第三方依赖项，为威胁行为者提供了未经授权的访问。这一理论与 Bitdefender 研究人员的观察结果一致，他们在 sh.py 后门的一个版本中发现了一个硬编码域，该域链接到讨论受感染的 macOS 二维码阅读器的不安全依赖的推文。还值得注意的是，观察到的威胁行为者已经拥有对日本加密货币交易所的预先存在的访问权限。

为了识别 JokerSpy 的潜在目标，个人可以寻找特定指标。其中包括 xcc 和 sh.py 不同样本的加密哈希值以及与域的联系，例如 git-hub[.]me 和 app.influmarket[.]org。虽然 JokerSpy 最初没有被大多数安全引擎注意到，但现在更广泛的引擎可以检测到它。虽然没有确认 JokerSpy 是否存在 Windows 或 Linux 版本，但必须意识到这种可能性的存在。

加密货币交易所遭受前所未有的毁灭性 Mac 恶意软件攻击 截图