マルチライセンス割引
Computer Security 仮想通貨取引所が前例のない壊滅的な Mac マルウェア攻撃の犠牲となる

仮想通貨取引所が前例のない壊滅的な Mac マルウェア攻撃の犠牲となる

Computer SecurityChanceまで
翻訳内容:
日本語

最近の発見で、研究者らは仮想通貨取引所を標的とした新種の Mac マルウェアを発見し、ユーザーの資金のセキュリティに重大な脅威をもたらしました。 JokerSpy と名付けられたこの洗練されたマルウェアは、データの盗難、脅威となるファイルのダウンロードと実行、潜在的なクロスプラットフォーム機能など、幅広い機能を示します。 Python で書かれた JokerSpy は、当初は正当なセキュリティ テストを目的としたオープンソース ツールである SwiftBelt を利用しています。 JokerSpy の最初の暴露はセキュリティ レポートを通じて明らかになり、その存在が明らかになり、Windows および Linux プラットフォームで利用できる可能性についての懸念が生じました。この展開は、仮想通貨取引所が現在進行中の課題と、新たな脅威から守るための堅牢なセキュリティ対策の継続的な必要性を浮き彫りにしています。

脅威の構造

JokerSpy マルウェアは、特定のエンドポイント保護ツールが xcc と呼ばれる不審なバイナリ ファイルを検出した後に出現しました。このマルウェアの標的となったのは、日本の有名な仮想通貨取引所でした。 xcc ファイルが出現すると、JokerSpy の背後にいるハッカーは、アプリケーションが機密データやリソースにアクセスするには明示的なユーザー許可を必要とする TCC として知られる macOS のセキュリティ保護を回避しようとしました。攻撃者は既存の TCC データベースを独自のデータベースに置き換え、JokerSpy がアクティブなときにアラートが表示されないようにする可能性があります。以前の攻撃では、ハッカーが TCC 保護の脆弱性を悪用して回避していましたが、研究者らは同様の攻撃を実証しました。

JokerSpy マルウェアのメイン エンジンには、不正なアクションを許可し、侵害されたシステムを制御する複数のバックドア機能があります。これらの機能には、バックドアの実行の停止 (sk)、指定されたパス内のファイルの一覧表示 (l)、シェル コマンドの実行と出力の返し (c)、現在のディレクトリの変更と新しいパスの指定 (cd)、内部での Python コードの実行が含まれます。提供されたパラメータを使用した現在のコンテキスト (xs)、Base64 でエンコードされた Python コードのデコードと実行 (xsi)、システムからのファイルまたはディレクトリの削除 (r)、パラメータの有無にかかわらずシステムからのファイルの実行 (e)、ファイルのアップロード (e)感染したシステム (u)、感染したシステムからファイルをダウンロードする (d)、設定ファイルからマルウェアの現在の設定を取得する (g)、新しい値でマルウェアの設定ファイルを上書きする (w)。

これらのコマンドにより、JokerSpy マルウェアはさまざまな不正なアクションを実行し、侵害されたシステムを制御できるようになります。

報告されているように、システムが侵害され、JokerSpy のようなマルウェアに感染すると、攻撃者はシステムを大幅に制御できるようになります。ただし、バックドアを使用すると、攻撃者は追加のコンポーネントを慎重にインストールし、さらなる悪用を実行したり、ユーザーの行動を監視したり、ログイン認証情報や暗号通貨ウォレットを収集したり、その他の有害な活動を実行したりする可能性もあります。

感染ベクターは現在不明

研究者たちは、JokerSpy の正確なインストール方法についてはまだ不明です。このマルウェアの最初のアクセス ポイントには、安全でないプラグインや侵害されたプラグイン、またはサードパーティの依存関係が含まれており、これにより脅威アクターに不正アクセスが提供されたと強く信じている人もいます。この理論は、安全でない依存関係を持つ感染した macOS QR コード リーダーについて議論するツイートにリンクする sh.py バックドアのバージョンにハードコーディングされたドメインを発見した Bitdefender 研究者による観察と一致しています。また、観察された脅威アクターがすでに日本の仮想通貨取引所に既存のアクセス権を持っていたことも指摘されました。

JokerSpy による潜在的なターゲットを特定するために、個人は特定の指標を探すことができます。これらには、xcc および sh.py のさまざまなサンプルの暗号化ハッシュや、git-hub[.]me や app.influmarket[.]org などのドメインとの接続が含まれます。 JokerSpy は当初、ほとんどのセキュリティ エンジンによって検出されませんでしたが、現在ではより幅広いエンジンで検出できるようになりました。 JokerSpy の Windows または Linux バージョンの存在は確認されていませんが、その可能性が存在することを認識しておくことが重要です。

仮想通貨取引所が前例のない壊滅的な Mac マルウェア攻撃の犠牲となるスクリーンショット

読み込んでいます...