加密貨幣交易所遭受前所未有的破壞性 Mac 惡意軟件攻擊

在最近的一項發現中，研究人員發現了一種新的 Mac 惡意軟件，該惡意軟件以加密貨幣交易所為目標，對用戶資金的安全構成重大威脅。這種名為 JokerSpy 的複雜惡意軟件具有廣泛的功能，包括數據盜竊、下載和執行威脅文件以及潛在的跨平台功能。 JokerSpy 用 Python 編寫，利用 SwiftBelt，這是一種最初用於合法安全測試的開源工具。 JokerSpy 的最初曝光是通過一份安全報告曝光的，揭示了它的存在，並引起了人們對其在 Windows 和 Linux 平台上的潛在可用性的擔憂。這一發展凸顯了加密貨幣交易所持續面臨的挑戰以及對強有力的安全措施的持續需求，以防範新出現的威脅。

威脅剖析

JokerSpy 惡意軟件是在特定端點保護工具檢測到名為 xcc 的可疑二進製文件後出現的。該惡意軟件的目標受害者是日本一家知名的加密貨幣交易所。 xcc 文件出現後，JokerSpy 背後的黑客就試圖繞過 macOS 的安全保護（稱為 TCC），該保護要求應用程序獲得明確的用戶權限才能訪問敏感數據和資源。威脅行為者用自己的數據庫替換了現有的 TCC 數據庫，可能會阻止在 JokerSpy 處於活動狀態時出現警報。在之前的攻擊中，黑客利用 TCC 保護中的漏洞來繞過它們，研究人員也展示了類似的攻擊。

JokerSpy 惡意軟件的主引擎具有多個後門功能，允許未經授權的操作並提供對受感染系統的控制。這些功能包括停止後門的執行（sk）、列出指定路徑中的文件（l）、執行shell命令並返回輸出（c）、更改當前目錄並提供新路徑（cd）、執行其中的Python代碼使用提供的參數 (xs) 獲取當前上下文，解碼並執行 Base64 編碼的 Python 代碼 (xsi)，從系統中刪除文件或目錄 (r)，使用或不使用參數從系統中執行文件 (e)，將文件上傳到受感染的系統（u），從受感染的系統（d）下載文件，從配置文件（g）檢索惡意軟件的當前配置，並使用新值覆蓋惡意軟件的配置文件（w）。

這些命令允許 JokerSpy 惡意軟件執行各種未經授權的操作並對受感染的系統施加控制。

據報導，一旦系統遭到破壞並感染了 JokerSpy 等惡意軟件，攻擊者就會獲得對系統的重大控制權。然而，通過後門，攻擊者甚至可以謹慎地安裝額外的組件，並可能執行進一步的攻擊、觀察用戶的操作、收集登錄憑據或加密貨幣錢包，以及執行其他有害活動。

目前未知的感染載體

研究人員仍不確定 JokerSpy 的精確安裝方法。一些人堅信，該惡意軟件的初始訪問點涉及不安全或受損的插件或第三方依賴項，為威脅行為者提供了未經授權的訪問。這一理論與 Bitdefender 研究人員的觀察結果一致，他們在 sh.py 後門的一個版本中發現了一個硬編碼域，該域鏈接到討論受感染的 macOS 二維碼閱讀器的不安全依賴的推文。還值得注意的是，觀察到的威脅行為者已經擁有對日本加密貨幣交易所的預先存在的訪問權限。

為了識別 JokerSpy 的潛在目標，個人可以尋找特定指標。其中包括 xcc 和 sh.py 不同樣本的加密哈希值以及與域的聯繫，例如 git-hub[.]me 和 app.influmarket[.]org。雖然 JokerSpy 最初沒有被大多數安全引擎注意到，但現在更廣泛的引擎可以檢測到它。雖然沒有確認 JokerSpy 是否存在 Windows 或 Linux 版本，但必須意識到這種可能性的存在。

加密貨幣交易所遭受前所未有的破壞性 Mac 惡意軟件攻擊 截图