加密货币交易所感染新型 Mac 恶意软件

一组研究人员发现了感染加密货币交易所的先前未知的 Mac 恶意软件，取得了突破性的发现。这种恶意软件被称为 JokerSpy，拥有全面的功能，使其能够窃取私人数据，以及下载和执行其他有害文件。

JokerSpy 采用 Python 编程语言编写，利用名为 SwiftBelt 的免费工具，该工具通常由合法的安全专业人员用于评估网络漏洞。本月早些时候，安全公司 Bitdefender 最初让 JokerSpy 引起了公众的注意。该公司的分析师表示，该恶意软件包含适用于 Windows 和 Linux 的组件，这表明也可能存在适用于这些平台的版本。

在这一消息曝光后，另一家安全公司 Elastic 报告称，他们的诊断端点保护工具检测到一个名为 xcc 的二进制文件，该文件与 JokerSpy 相关。尽管 Elastic 没有透露受害者的确切身份，但他们确实提到这是一家总部位于日本的著名加密货币交易所。

恶意软件的运作方式

一旦执行 xcc，身份不明的威胁参与者就会尝试规避 macOS 的 TCC（透明同意和控制）保护，该保护要求应用程序获得明确的用户权限才能访问敏感资源，例如硬盘驱动器、联系人或屏幕录制。

通过用自己的版本替换合法的 TCC 数据库，威胁行为者可能打算抑制 JokerSpy 运行时通常出现的任何警报。之前的攻击已经证明，威胁行为者有能力利用 TCC 保护中的漏洞来绕过它们。这些操纵在类似的情况下取得了成功。

尽管进行了广泛的调查，研究人员尚未确定 JokerSpy 安装的精确方法。 Elastic 研究人员坚信，该恶意软件的初始访问点是恶意或受损的插件或第三方依赖项，这些插件或第三方依赖项授予威胁行为者未经授权的访问权限。这一假设与 Bitdefender 的发现一致，因为他们将 sh.py 后门版本中发现的硬编码域与一系列有关受感染的 macOS 二维码阅读器（包含恶意依赖项）的推文连接起来。 Elastic 还指出，观察到的威胁行为者已经拥有对日本加密货币交易所的预先存在的访问权限。