macOS多階段惡意軟體 逾1億台設備遭攻擊
編譯/Cynthia
macOS作業系統一直被視為安全性較高的系統之一,然而,最近的報告顯示,macOS設備已成為駭客的新目標。根據SentinelOne、Bitdefender和Elastic的調查,一種名為「JokerSpy」的新型macOS惡意軟體已經在網路中肆虐,並攻擊大量的macOS設備,目前尚無法確定受害者人數,據報導截止至2023年初的數據已超過1億台macOS設備受到攻擊。
JokerSpy是一種多階段的惡意軟體,其初始入侵階段仍在調查中。目前的報告指出,這種惡意軟體的初始感染與一個QRWriter.java檔案內的木馬QR生成器相關,該檔案隱藏在一個開源的QR專案中,一旦檢測到主機操作系統,JokerSpy會解碼一個嵌入的base64 blob,並在臨時目錄內寫入和執行解碼後的檔案,而這檔案將與位於hxxps://git-hub[.]me/view/php的指令與控制(C2)伺服器進行通信。
根據C2伺服器的回應執行不同的動作,同時還創建了多個後門檔案,包括p.dat、prefTemp.java、shared.dat和sh.py。根據調查,駭客會定期收集並向其傳送各種數據,包括目前的工作目錄、使用者名稱、主機名稱、域名、作業系統版本、Python版本和sh.py的路徑。
進一步分析顯示,JokerSpy還具有一個專門針對macOS的套件,這套件以「xcc」的名稱隱藏,並使用啟動服務識別符(Launch Services Identifier)「com.apple.xprotectcheck」,它用於識別並執行相關的組件或檔案,以收集有關macOS系統的資訊。這是JokerSpy惡意軟體利用的一種機制,用於收集系統相關的資訊以便進一步的攻擊或監控行為。所以,這個組件能夠收集更多精密資訊,包括設備的閒置時間、活躍的應用程式、螢幕狀態(鎖定或未鎖定)、活躍應用程式的完整磁碟存取權限、活躍應用程式的螢幕錄製權限以及活躍應用程式的無障礙權限。
JokerSpy的存在令人擔憂,這種惡意軟體不僅具有高度的隱匿性,還能夠利用macOS漏洞進行攻擊,對全球企業組織造成了嚴重威脅。使用者應該保持警惕,確保其macOS設備上的安全措施得以加強,並定期更新防病毒軟體以及操作系統的修補程式。
資料來源:Cyber Security News
瀏覽 555 次