JokerSpy 後門

Mac Malware, Backdoors 年Mezo年

翻譯為：

網絡安全研究人員發現了一種以前未知的 Mac 惡意軟件，該惡意軟件已成功感染加密貨幣交易所。這種名為 JokerSpy 的特殊惡意軟件因其廣泛的功能而脫穎而出，對受影響系統的安全和隱私構成了明顯的威脅。

JokerSpy 是使用 Python 編程語言製作的。它具有廣泛的惡意功能，其全面的工具套件使其不僅能夠竊取私人數據，還能夠下載和執行其他惡意文件。結果，受害者可能會遭受更大的潛在損害。

有趣的是，JokerSpy 利用名為 SwiftBelt 的開源工具，該工具最初是為合法的安全專業人員創建的，用於評估網絡漏洞。這種出於惡意目的而採用合法工具的行為證明了惡意軟件的適應性和復雜性。

雖然這一發現的重點是 Mac 惡意軟件，但值得注意的是，研究人員還檢測到了表明 Windows 和 Linux 平台上存在 JokerSpy 變體的元素。這表明 JokerSpy 的創建者已經開發了針對這些流行操作系統的版本，從而擴大了其在多個平台上的覆蓋範圍和潛在影響。

據觀察，JokerSpy 背後的身份不明的威脅參與者採用了一種技術來規避 macOS 透明度、同意和控制 (TCC) 保護。通常，它們需要明確的用戶許可，應用程序才能訪問 Mac 上的敏感資源，例如硬盤驅動器和聯繫人或錄製屏幕的功能。

為了實現他們的目標，威脅行為者用自己的數據庫替換了現有的 TCC 數據庫，旨在抑制執行 JokerSpy 惡意軟件時通常會觸發的任何警報。之前的攻擊表明，威脅行為者可以利用 TCC 保護中的漏洞成功繞過它們。

在這種特殊情況下，JokerSpy 的 xcc 可執行組件在漏洞利用中發揮著至關重要的作用。它對 TCC 權限進行檢查，確定用戶正在與之交互的當前活動應用程序。隨後，它繼續下載並安裝 sh.py，這是負責運行 JokerSpy 惡意軟件的主要引擎。

通過利用這種方法，威脅行為者設法利用 macOS 中的零日漏洞，使他們能夠捕獲受感染 Mac 設備的屏幕截圖。

一旦系統遭到破壞並被 JokerSpy 感染，攻擊者就會獲得對其的重大控制權。這種惡意軟件威脅所展現的功能涵蓋了廣泛的功能和操作，可以根據攻擊者的特定目標執行這些功能和操作。

這些功能包括停止被破壞設備中存在的 JokerSpy 後門的執行。此外，該惡意軟件使攻擊者能夠列出位於指定路徑中的文件、執行 shell 命令並檢索其輸出、導航和更改目錄以及在當前上下文中執行 Python 代碼。

JokerSpy 還能夠解碼作為參數提供的 Base64 編碼的 Python 代碼、對其進行編譯，然後在受感染的系統中執行它。此外，該惡意軟件使攻擊者能夠從受感染的系統中刪除文件或目錄、帶或不帶參數執行文件、將文件上傳到受感染的系統以及從受感染的系統下載文件。

攻擊者還可以指示 JokerSpy 檢索配置文件中存儲的惡意軟件的當前配置。攻擊者可以訪問和操縱此配置來滿足他們的目標，因為他們可以使用符合其惡意意圖的新值覆蓋現有配置文件。

通過展示這些不同的功能和操作，JokerSpy 為攻擊者提供了一套全面的工具，以在受感染的系統中施加控制並執行惡意活動。這些功能強調了惡意軟件感染的嚴重性和潛在影響，強調了實施強大的安全措施來預防和減輕此類威脅的至關重要性。

搜索