Японская криптовалютная биржа пострадала от атаки macOS-вредоноса JokerSpy - «Новости» » Интернет технологии
sitename
Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
Librarian Likho разрабатывает собственную малварь с помощью ИИ - «Новости»
 На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
На Positive Security Day рассказали о новых продуктах и трендах - «Новости»
 Подрядчик Discord отрицает компрометацию своих систем - «Новости»
Подрядчик Discord отрицает компрометацию своих систем - «Новости»
 Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
Банкер Astaroth использует GitHub, чтобы избегать блокировок - «Новости»
 Северокорейские хакеры применяют тактику EtherHiding для сокрытия малвари в блокчейне - «Новости»
Северокорейские хакеры применяют тактику EtherHiding для сокрытия малвари в блокчейне - «Новости»
 Смарт-часы впервые обеспечили сантиметровую точность навигации - «Новости сети»
Смарт-часы впервые обеспечили сантиметровую точность навигации - «Новости сети»
 Закон Ома подсказал путь для развития аккумуляторных систем хранения энергии — пора повышать напряжение - «Новости сети»
Закон Ома подсказал путь для развития аккумуляторных систем хранения энергии — пора повышать напряжение - «Новости сети»
 Статистика Backblaze: за последние 12 лет срок службы жёстких дисков увеличился в разы - «Новости сети»
Статистика Backblaze: за последние 12 лет срок службы жёстких дисков увеличился в разы - «Новости сети»
 SpaceX уличили в рейдерском захвате международного резервного спутникового канала связи - «Новости сети»
SpaceX уличили в рейдерском захвате международного резервного спутникового канала связи - «Новости сети»
 ЕС обязал производителей оснастить зарядные устройства отсоединяемыми кабелями USB-C - «Новости сети»
ЕС обязал производителей оснастить зарядные устройства отсоединяемыми кабелями USB-C - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Японская криптовалютная биржа пострадала от атаки macOS-вредоноса JokerSpy - «Новости»

✔Японская криптовалютная биржа пострадала от атаки macOS-вредоноса JokerSpy - «Новости»

28 июня 2023 705 Новости / Заработок / Отступы и поля / Текст / Преимущества стилей / Вёрстка 0

По информации Elastic Security Labs, в начале текущего месяца неназванная криптовалютная биржа в Японии стала жертвой новой macOS-малвари под названием JokerSpy. Исследователи говорят, что атака привела к установке enumeration-инструмента Swiftbelt.


JokerSpy был обнаружен специалистами Bitdefender в июне 2023 года. Тогда эксперты писали о наборе вредоносных артефактов, которые, по их словам, являются частью сложного кроссплатформенного инструментария, в том числе нацеленного на устройства, работающие под управлением macOS.


Как теперь сообщают аналитики Elastic Security Labs, им удалось выявить первые атаки с использованием JokerSpy, от которых пострадал крупный провайдер криптовалютных услуг в Японии, специализирующийся на обмене активов для торговли Bitcoin, Ethereum и другими распространенными криптовалютами. Название компании не разглашается.


Эксперты отслеживают эту кампанию под идентификатором REF9134 и говорят, что атака привела к установке enumeration-инструмента Swiftbelt, основанного на Swift и явно вдохновленного опенсорсной утилитой SeatBelt.





 


О злоумышленниках, стоящих за этими атаками, пока известно мало, за исключением того факта, что они используют набор программ, написанных на Python и Swift, которые обладают возможности для сбора данных и выполнения произвольных команд на скомпрометированных хостах.


Основным компонентом этого инструментария является кастомный мультиархитектурный бинраник xcc, который разработан для проверки разрешений FullDiskAccess и ScreenRecording, что обычно происходит перед использованием шпионской малвари. Отмечается, что файл подписан как XProtectCheck, а это указывает на попытку хакеров замаскироваться под XProtect — встроенный антивирусный механизм в macOS.


В инциденте, который изучили аналитики Elastic Security Labs, за созданием xcc последовали попытки обхода разрешений TCC (Transparency, Consent, and Control) и создания собственной базы TCC, чтобы заменить существующую.


Бинарник xcc, в свою очередь, запускается с помощью Bash через три различных приложения: IntelliJ IDEA, iTerm и Visual Studio Code. По мнению аналитиков, это указывает на то, что для получения первоначального доступа, скорее всего, использовались вредоносные версии приложений для разработки ПО.


Еще один модуль, который устанавливается в рамках этих атак, это sh.py, написанный на Python. Он используется в качестве канала для доставки других инструментов для пост-эксплуатации, включая упомянутый Swiftbelt.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

По информации Elastic Security Labs, в начале текущего месяца неназванная криптовалютная биржа в Японии стала жертвой новой macOS-малвари под названием JokerSpy. Исследователи говорят, что атака привела к установке enumeration-инструмента Swiftbelt. JokerSpy был обнаружен специалистами Bitdefender в июне 2023 года. Тогда эксперты писали о наборе вредоносных артефактов, которые, по их словам, являются частью сложного кроссплатформенного инструментария, в том числе нацеленного на устройства, работающие под управлением macOS. Как теперь сообщают аналитики Elastic Security Labs, им удалось выявить первые атаки с использованием JokerSpy, от которых пострадал крупный провайдер криптовалютных услуг в Японии, специализирующийся на обмене активов для торговли Bitcoin, Ethereum и другими распространенными криптовалютами. Название компании не разглашается. Эксперты отслеживают эту кампанию под идентификатором REF9134 и говорят, что атака привела к установке enumeration-инструмента Swiftbelt, основанного на Swift и явно вдохновленного опенсорсной утилитой SeatBelt. О злоумышленниках, стоящих за этими атаками, пока известно мало, за исключением того факта, что они используют набор программ, написанных на Python и Swift, которые обладают возможности для сбора данных и выполнения произвольных команд на скомпрометированных хостах. Основным компонентом этого инструментария является кастомный мультиархитектурный бинраник xcc, который разработан для проверки разрешений FullDiskAccess и ScreenRecording, что обычно происходит перед использованием шпионской малвари. Отмечается, что файл подписан как XProtectCheck, а это указывает на попытку хакеров замаскироваться под XProtect — встроенный антивирусный механизм в macOS. В инциденте, который изучили аналитики Elastic Security Labs, за созданием xcc последовали попытки обхода разрешений TCC (Transparency, Consent, and Control) и создания собственной базы TCC, чтобы заменить существующую. Бинарник xcc, в свою очередь, запускается с помощью Bash через три различных приложения: IntelliJ IDEA, iTerm и Visual Studio Code. По мнению аналитиков, это указывает на то, что для получения первоначального доступа, скорее всего, использовались вредоносные версии приложений для разработки ПО. Еще один модуль, который устанавливается в рамках этих атак, это sh.py, написанный на Python. Он используется в качестве канала для доставки других инструментов для пост-эксплуатации, включая упомянутый Swiftbelt.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: