Раскрытая недавно вредоносная программа маскируется под встроенный антивирус в macOS.
Неизвестные хакеры атаковали японскую криптовалютную биржу и установили на её macOS-компьютерах вредоносную программу JokerSpy. Об этом сообщила компания Elastic Security Labs, которая отслеживает злоумышленников под кодовым именем REF9134.
JokerSpy — это сложный инструментарий, предназначенный для взлома машин на базе macOS. Он был впервые описан компанией Bitdefender на прошлой неделе . JokerSpy состоит из нескольких программ, написанных на Python и Swift, которые позволяют собирать данные и выполнять произвольные команды на заражённых хостах.
Одна из основных составляющих JokerSpy — это самоподписанный двоичный файл под названием «xcc», который проверяет наличие полного доступа к диску и разрешения на запись экрана. Файл подписан как XProtectCheck, что свидетельствует о попытке замаскироваться под XProtect — встроенную антивирусную технологию в macOS.
«1 июня был замечен новый инструмент на Python, который выполнялся из того же каталога, что и xcc, и использовался для запуска открытого постэксплуатационного инструмента для macOS под названием Swiftbelt», — сообщили исследователи безопасности Elastic.
Атака была направлена на крупного японского поставщика криптовалютных услуг, специализирующегося на обмене активов для торговли биткоинами, эфириумом и другими распространенными криптовалютами. Название компании не разглашается.
Двоичный файл «xcc» запускается с помощью Bash через три разных приложения: IntelliJ IDEA, iTerm (эмулятор терминала для macOS) и Visual Studio Code.
Ещё один модуль, установленный в рамках атаки — это sh.py, имплантат на Python, который используется как канал для доставки других постэксплуатационных инструментов, таких как, например, Swiftbelt.
Пользователи macOS должны быть бдительны и не скачивать подозрительные файлы или программы из ненадежных источников. Также рекомендуется использовать надежный антивирус и обновлять систему и приложения вовремя. Только так можно защитить свои данные и криптовалюту от хакеров.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале