Неизвестные хакеры атаковали японскую криптовалютную биржу и установили на её macOS-компьютерах вредоносную программу JokerSpy. Об этом сообщила компания Elastic Security Labs, которая отслеживает злоумышленников под кодовым именем REF9134.
JokerSpy – это сложный инструментарий, предназначенный для взлома машин на базе macOS. Он был впервые описан компанией Bitdefender на прошлой неделе . JokerSpy состоит из нескольких программ, написанных на Python и Swift, которые позволяют собирать данные и выполнять произвольные команды на заражённых хостах.
Одна из основных составляющих JokerSpy – это самоподписанный двоичный файл под названием “xcc”, который проверяет наличие полного доступа к диску и разрешения на запись экрана. Файл подписан как XProtectCheck, что свидетельствует о попытке замаскироваться под XProtect – встроенную антивирусную технологию в macOS.
“1 июня был замечен новый инструмент на Python, который выполнялся из того же каталога, что и xcc, и использовался для запуска открытого постэксплуатационного инструмента для macOS под названием Swiftbelt”, – сообщили исследователи безопасности Elastic.
Атака была направлена на крупного японского поставщика криптовалютных услуг, специализирующегося на обмене активов для торговли биткоинами, эфириумом и другими распространенными криптовалютами. Название компании не разглашается.
Двоичный файл “xcc” запускается с помощью Bash через три разных приложения: IntelliJ IDEA, iTerm (эмулятор терминала для macOS) и Visual Studio Code.
Ещё один модуль, установленный в рамках атаки – это sh.py, имплантат на Python, который используется как канал для доставки других постэксплуатационных инструментов, таких как, например, Swiftbelt.
Пользователи macOS должны быть бдительны и не скачивать подозрительные файлы или программы из ненадежных источников. Также рекомендуется использовать надежный антивирус и обновлять систему и приложения вовремя. Только так можно защитить свои данные и криптовалюту от хакеров.