macOS多階段惡意軟體　逾1億台設備遭攻擊

編譯／Cynthia

macOS作業系統一直被視為安全性較高的系統之一，然而，最近的報告顯示，macOS設備已成為駭客的新目標。根據SentinelOne、Bitdefender和Elastic的調查，一種名為「JokerSpy」的新型macOS惡意軟體已經在網路中肆虐，並攻擊大量的macOS設備，目前尚無法確定受害者人數，據報導截止至2023年初的數據已超過1億台macOS設備受到攻擊。

JokerSpy是一種多階段的惡意軟體，其初始入侵階段仍在調查中。目前的報告指出，這種惡意軟體的初始感染與一個QRWriter.java檔案內的木馬QR生成器相關，該檔案隱藏在一個開源的QR專案中，一旦檢測到主機操作系統，JokerSpy會解碼一個嵌入的base64 blob，並在臨時目錄內寫入和執行解碼後的檔案，而這檔案將與位於hxxps://git-hub[.]me/view/php的指令與控制（C2）伺服器進行通信。

根據C2伺服器的回應執行不同的動作，同時還創建了多個後門檔案，包括p.dat、prefTemp.java、shared.dat和sh.py。根據調查，駭客會定期收集並向其傳送各種數據，包括目前的工作目錄、使用者名稱、主機名稱、域名、作業系統版本、Python版本和sh.py的路徑。

進一步分析顯示，JokerSpy還具有一個專門針對macOS的套件，這套件以「xcc」的名稱隱藏，並使用啟動服務識別符（Launch Services Identifier）「com.apple.xprotectcheck」，它用於識別並執行相關的組件或檔案，以收集有關macOS系統的資訊。這是JokerSpy惡意軟體利用的一種機制，用於收集系統相關的資訊以便進一步的攻擊或監控行為。所以，這個組件能夠收集更多精密資訊，包括設備的閒置時間、活躍的應用程式、螢幕狀態（鎖定或未鎖定）、活躍應用程式的完整磁碟存取權限、活躍應用程式的螢幕錄製權限以及活躍應用程式的無障礙權限。

JokerSpy的存在令人擔憂，這種惡意軟體不僅具有高度的隱匿性，還能夠利用macOS漏洞進行攻擊，對全球企業組織造成了嚴重威脅。使用者應該保持警惕，確保其macOS設備上的安全措施得以加強，並定期更新防病毒軟體以及操作系統的修補程式。

資料來源：Cyber Security News

瀏覽 486 次