加密貨幣交易所感染新型 Mac 惡意軟件

一組研究人員發現了感染加密貨幣交易所的先前未知的 Mac 惡意軟件，取得了突破性的發現。這種惡意軟件被稱為 JokerSpy，擁有全面的功能，使其能夠竊取私人數據，以及下載和執行其他有害文件。

JokerSpy 採用 Python 編程語言編寫，利用名為 SwiftBelt 的免費工具，該工具通常由合法的安全專業人員用於評估網絡漏洞。本月早些時候，安全公司 Bitdefender 最初讓 JokerSpy 引起了公眾的注意。該公司的分析師表示，該惡意軟件包含適用於 Windows 和 Linux 的組件，這表明也可能存在適用於這些平台的版本。

在這一消息曝光後，另一家安全公司 Elastic 報告稱，他們的診斷端點保護工具檢測到一個名為 xcc 的二進製文件，該文件與 JokerSpy 相關。儘管 Elastic 沒有透露受害者的確切身份，但他們確實提到這是一家總部位於日本的著名加密貨幣交易所。

惡意軟件的運作方式

一旦執行 xcc，身份不明的威脅參與者就會嘗試規避 macOS 的 TCC（透明同意和控制）保護，該保護要求應用程序獲得明確的用戶權限才能訪問敏感資源，例如硬盤驅動器、聯繫人或屏幕錄製。

通過用自己的版本替換合法的 TCC 數據庫，威脅行為者可能打算抑制 JokerSpy 運行時通常出現的任何警報。之前的攻擊已經證明，威脅行為者有能力利用 TCC 保護中的漏洞來繞過它們。這些操縱在類似的情況下取得了成功。

儘管進行了廣泛的調查，研究人員尚未確定 JokerSpy 安裝的精確方法。 Elastic 研究人員堅信，該惡意軟件的初始訪問點是惡意或受損的插件或第三方依賴項，這些插件或第三方依賴項授予威脅行為者未經授權的訪問權限。這一假設與 Bitdefender 的發現一致，因為他們將 sh.py 後門版本中發現的硬編碼域與一系列有關受感染的 macOS 二維碼閱讀器（包含惡意依賴項）的推文連接起來。 Elastic 還指出，觀察到的威脅行為者已經擁有對日本加密貨幣交易所的預先存在的訪問權限。