仮想通貨取引所が新型 Mac マルウェアに感染

研究者のグループは、仮想通貨取引所に感染したこれまで知られていなかった Mac マルウェアを発見し、画期的な発見をしました。 JokerSpy として知られるこの悪意のあるソフトウェアは、包括的な機能を備えており、個人データを窃取したり、追加の有害なファイルをダウンロードして実行したりすることができます。

Python プログラミング言語で書かれた JokerSpy は、SwiftBelt と呼ばれる無料で利用できるツールを悪用します。このツールは通常、正規のセキュリティ専門家がネットワークの脆弱性を評価するために使用します。セキュリティ会社 Bitdefender は、今月初めに JokerSpy を最初に世間の注目を集めました。同社のアナリストは、このマルウェアには Windows と Linux の両方のコンポーネントが含まれており、これらのプラットフォーム用のバージョンも存在する可能性があることを示唆しています。

この暴露を受けて、別のセキュリティ会社である Elastic は、同社の診断エンドポイント保護ツールが JokerSpy に関連する xcc という名前のバイナリ ファイルを検出したと報告しました。 Elasticは被害者の正確な身元を明らかにしなかったが、日本に拠点を置く著名な仮想通貨取引所であることには言及した。

マルウェアの動作モード

xcc が実行されると、正体不明の攻撃者は、ハード ドライブ、連絡先、画面録画などの機密リソースにアクセスするアプリケーションに対して明示的なユーザー許可を義務付ける macOS の TCC (透明性同意および制御) 保護を回避しようとします。

正規の TCC データベースを独自のバージョンに置き換えることにより、攻撃者は、JokerSpy が動作しているときに通常発生するアラートを抑制することを意図していた可能性があります。これまでの攻撃では、脅威アクターが TCC 保護の脆弱性を悪用してバイパスする能力を示しています。こうした操作は同様の事例でも成功しています。

広範な調査にもかかわらず、研究者はまだ JokerSpy の正確なインストール方法を特定していません。 Elastic 研究者は、このマルウェアの最初のアクセス ポイントは、悪意のあるプラグインまたは侵害されたプラグイン、または脅威アクターの不正な侵入を許可したサードパーティの依存関係であったと強く信じています。この仮説は、sh.py バックドアのバージョンで発見されたハードコーディングされたドメインが、悪意のある依存関係を含む感染した macOS QR コード リーダーに関する一連のツイートに関連付けられているため、Bitdefender の調査結果と一致しています。 Elasticはまた、観測された脅威アクターがすでに日本の仮想通貨取引所に既存のアクセス権を持っていたことにも言及した。